使用两台负载平衡器ipsec vpn 上设定联机方法。(联机使用gre/ipsec 封包封装算法)

    先前作业

    甲公司wan ip 为61.11.11.11

    lan ip 为192.168.10.x

    乙公司wan ip 为211.22.22.22

    lan ip 为192.168.20.x

    本范例以两台负载平衡器作为平台操作。假设甲公司192.168.10.100 要向乙公司192.168.20.100 做【虚拟私有网络】联机并下载其分享档案。(联机使用gre/ipsec 封包封装算法)

    甲公司的预设网关为负载平衡器的lan ip 192.168.10.1，以下为其设定步骤：

    步骤1. 进入甲公司负载平衡器预设地址192.168.10.1，在左方的功能选项中，点选【ipsec 自动加密】功能，再点选【ipsec 自动加密】次功能选项。并点选【新增】功能。（如图11-104 ）

   

    步骤2. 于【ipsec 自动加密】窗体中，填写所使用的vpn 联机名称vpn_a，并点选来源地址为【内部网络】。使用接口地址，选择wan1，并填入甲公司内部网络地址192.168.10.0 及屏蔽255.255.255.0。（如图11-105 ）

   

    步骤3. 于【到目的地址】窗体中，填写所要联机乙公司的远程ip 地址，并填入乙公司内部网络地址192.168.20.0 及屏蔽255.255.255.0。（如图11-106 ）

   

    步骤4. 于【认证方法】窗体中，选择preshare，并填入联机时的加密金钥(加密金钥最高可输入100 位)。（如图11-107 ）

   

    步骤5. 于【加密或认证】窗体中， 选择isakmp 算法(请参阅名词解说)，双方开始进行联机沟通时，选择建立联机时所需的算法加密演算(3des/des/aes)选择3des 及认证的算法(md5/sha1)选择md5 认证方式。另外，需选择群组( group 1,2,5)双方需选择同一群组，此处选择group 1 来进行联机。（如图11-108 ）

   

    步骤6. 勾选gre/ipsec，并输入gre 来源端ip 192.168.50.100gre远程ip 192.168.50.200 [此来源端ip 和远程ip 需为同一区段(cclass)，需自行设定]。（如图11-109 ）

   

    步骤7. 于【ipsec 算法】窗体中，可以选择资料加密+认证或是仅选择认证方式来沟通:

    加密算法(3des/des/aes/null)选择3des 加密演算，认证演算法(md5/sha1)选择md5 认证演算方式，来确保数据传输时所使用的加密认证方式。（如图11-110 ）

   

    步骤8. 勾选进阶加密，并填写加密金钥更新周期填入28800 秒，保持联机的ip 地址字段不可填入任何值。（如图11-111 ）

   

    步骤9. 排程选择甲公司vpn 可联机时间、是否使用频宽管理vpn 频宽、可否允许彼此透过网络芳邻传输资料和使用认证方式授权vpn 联机。（如图11-112 ）

   

    步骤10. 点选【确定】，完成甲公司设定。（如图11-113 ）

   

    乙公司的预设网关为负载平衡器的lan ip 192.168.20.1，以下为其设定步骤：

    步骤1. 进入乙公司负载平衡器预设地址192.168.20.1，在左方的功能选项中，点选【ipsec 自动加密】功能，再点选【ipsec 自动加密】次功能选项。并点选【新增】功能。（如图11-114 ）

   

    步骤2. 于【ipsec 自动加密】窗体中，填写所使用的vpn 联机名称vpn_b，并点选来源地址为【内部网络】。使用接口地址，选择wan1，并填入乙公司内部网络地址192.168.20.0 及屏蔽255.255.255.0。（如图11-115 ）

   

    步骤3. 于【到目的地址】窗体中，填写所要联机甲公司的远程ip 地址，并填入甲公司内部网络地址192.168.10.0 及屏蔽255.255.255.0。（如图11-116 ）

   

    步骤4. 于【认证方法】窗体中，选择preshare，并填入联机时的加密金钥(加密金钥最高可输入100 位)。（如图11-117 ）

   

    步骤5. 于【加密或认证】窗体中， 选择isakmp 算法(请参阅名词解说)，双方开始进行联机沟通时，选择建立联机时所需的算法加密演算(3des/des/aes)选择3des 及认证的算法(md5/sha1)选择md5 认证方式。另外，需选择群组( group 1,2,5)双方需选择同一群组，此处选择group 1 来进行联机。（如图11-118 ）

   

    步骤6. 勾选gre/ipsec，并输入gre 来源端ip 192.168.50.200gre远程ip 192.168.50.100 [此来源端ip 和远程ip 需为同一区段(cclass)，需自行设定]。（如图11-119 ）

   

    步骤7. 于【ipsec 算法】窗体中，可以选择资料加密+认证或是仅选择认证方式来沟通:

    加密算法(3des/des/aes/null)选择3des 加密演算，认证演算法(md5/sha1)选择md5 认证演算方式，来确保数据传输时所使用的加密认证方式。（如图11-120 ）

   

    步骤8. 勾选进阶加密，并填写加密金钥更新周期填入28800 秒，保持联机的ip 地址字段不可填入任何值。（如图11-121 ）

   

    步骤9. 选择乙公司vpn 排程可联机时间、是否使用频宽管理vpn 频宽、可否允许彼此透过网络芳邻传输资料和使用认证方式授权vpn 联机。（如图11-122 ）

   

    步骤10. 点选【确定】，完成乙公司设定。（如图11-123 ）

   

    步骤11. 完成ipsec vpn gre/ipsec 联机。（如图11-124 ）

   

    负载平衡器ipsec vpn 亦可搭配【认证表】和【显示远程网络芳邻】使用

    1. 认证名称：选择认证表内设定好之认证规则，令外部使用者需透过负载平衡器指定的帐号和密码，来存取其vpn 联机下之网络资料。

    2. 显示远程网络芳邻：若要使建起vpn 联机之两端区网，能够彼此看到网络芳邻下之计算机，则双方皆要勾选此选项。（若是一方或双方未勾选此选项，彼此是不能看到对方区网下网芳之计算机）