三星Ubigate系列简单VPN配置实例讲解

作者: JOY 出处:51CTO.com　2008-04-15 11:48　砖好评论条　进入论坛

阅读提示：VPN是企业网在因特网等公共网络上的延伸，它能在公共网络上创建一个安全的私有连接，因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来，构成一个扩展的企业网。

随着社会的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况使传统企业网络的功能缺陷越来越凸现。

各公司均根据行业特点在在企业总部部署如OA系统、ERP系统、财务系统、CRM客户资源管理系统等应用软件，将企业分布在各地的分支机构和办事处与企业总部互联，达到安全地数据和软件资源共享的目的，于是用户对于自身的网络建设提出了更高的需求，其中针对网络的灵活性、高安全性、经济性、可扩展性等方面尤为关注。

VPN（Virtual Private Network虚拟专用网）技术的出现，为在公共网络上建立安全的Intranet、点到点连接等分布应用提供了良好的技术手段。随着VPN技术的不断完善，其管理简单、灵活性高、费用低廉的优点已成为构建内部广域网络的首要选择。传统的企业网络解决方案需要VPN网关、防火墙、交换三类设备，对安全比较注重的企业还要考虑布置IDS/IPS(入侵检测/防御系统)等，用分体的设备无疑会增加成本，同时可能故障点会增多，管理较为复杂。

什么是VPN?
VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个 VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。

VPN是企业网在因特网等公共网络上的延伸，它能在公共网络上创建一个安全的私有连接，因此让公司的远程用户、分支机构、业务伙伴等与公司的企业网连接起来，构成一个扩展的企业网。

三星Ubigate系列网络产品优势
在利用Ubigate产品进行VPN网络组建的时候，数据链路的传输首先会基于网络层进行IPSec加密，然后对于基于链路层进行MAC地址绑定，同时可以利用Ubigate的AAA服务器功能进行用户身份的验证、授权、统计进行统一管理，同时ISM模块中的IDS/IPS入侵检测系统、防病毒功能对于所有流量进行实施监控探测，从而真正实现立体式安全VPN隧道

高速VPN隧道机制

为解决现有普遍存在的VPN速度慢问题，Ubigate为用户提供了1000M的LAN / WAN接入速率，Ubigate同时具备PPP链路封装及PAP、CHAP验证，可以现有的ADSL、VDSL、HDSL等宽带接入技术的进行完整功能支持，可以直接与公网相连并进行宽带拨号，从而最大限度的提高了VPN隧道的接入速度。

SAMSUNG Ubigate iBG 3026作为VPN的服务器端，可同时接受2000个并发VPN拨号的连接（L2TP）——也就是说分公司能同时有2000人拨号到总公司上来。小型分公司的人员或者正在移动办公中的人员皆可采取L2TP的拨号方式（WIN 2000/XP/2003皆有自带的拨号软件）与总公司间进行互联。

软、硬全功能VPN

VPN可分为硬件VPN和软件VPN。实施了 Ubigate iBG 3026设备进行VPN对接的时候，可以实现软、硬全功能VPN接入，Ubigate iBG系列产品特有的VAC增强卡不但可以为用户提供更多的VPN连接数目，同时采用IPSec的隧道加密机制，从根本上保证了用户数据的安全性。各个分公司机构可根据自身情况选择用硬件或者是软件与总公司进行VPN互联。不同的分公司可选择不同的VPN连接方式，只需要在总公司Ubigate设备中进行少量简单配置便能轻松实现多种VPN接入。

下面就以一个简单的实例给大家呈现三星Ubigate iBG系列产品的VPN配置方法。
配置实例如下：

配置IPSec VPN

配置分公司端设备

配置端口地址
Ibg01/configure# interface ethernet 0/2
Ibg01/configure/interface/ethernet (0/2)#
Ibg01/configure/interface/ethernet (0/2)# ip address 160.0.1.1/24
Ibg01/configure/interface/ethernet (0/2)# end
Ibg01/configure# interface ethernet 2/0
Ibg01/configure/interface/ethernet (2/0)#
Ibg01/configure/interface/ethernet (2/0)# ip address 170.0.1.1/24
Ibg01/configure/interface/ethernet (2/0)# end

启用防火墙策略
Ibg01/configure# firewall internet
Ibg01/configure/firewall internet# interface ethernet0/2
Ibg01/configure/firewall internet# policy 1022 in self
ibg01/configure/firewall internet/policy 1022 in# exit
ibg01/configure/firewall internet#
ibg01/configure# firewall corp
ibg01/configure/firewall corp# interface ethernet2/0
ibg01/configure/firewall corp# policy 1021 in
ibg01/configure/firewall corp/policy 1021 in# exit
ibg01/configure/firewall corp#
查看端口在防火墙的网络类型
ibg01# show firewall interface all
Interface      Map Name
---------         --------
ethernet0/2    internet
ethernet2/0    corp

配置crypto ike策略
Ibg01/configure# crypto
Ibg01/configure/crypto# ike policy pol1 160.0.1.2
Ibg01/configure/crypto/ike/policy pol1 160.0.1.2# local-address 160.0.1.1

Default proposal created with priority1-des-sha1-pre_shared-g1
Key String has to be configured by the user

配置crypto ike策略密钥
Ibg01/configure/crypto/ike/policy pol1 160.0.1.2# key samsung123

查看IKE信息
ibg01/configure/crypto/ike/policy pol1 160.0.1.2# show crypto ike policy pol1 detail

Policy name pol1, Local addr 160.0.1.1, Peer addr 160.0.1.2
Main mode, Initiator and Responder, PFS is not enabled, Shared Key is *****
Local ident 160.0.1.1 (ip-address), Remote Ident 160.0.1.2 (ip-address)
NGM attributes not configured
OCSP is not enabled
Proposal of priority 1
Encryption algorithm: des
Hash Algorithm: sha1
Authentication Mode: pre-shared-key
DH Group: group1
Lifetime in seconds: 86400
Lifetime in kilobytes: unlimited

配置crypto ipsec策略
ibg01/configure# crypto
ibg01/configure/crypto# ipsec policy pol1 160.0.1.2
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# match address 170.0.1.0/24 170.0.5.0/24
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# proposal 1

查看ipsec策略
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.2# show crypto ipsec policy pol1

Policy     Peer        Match                 Proto Transform
------      ----          -----                   ----- ---------
pol1    160.0.1.2     S 170.0.1.0/24/any      Any P1 esp-3des-sha1-tunl
D 170.0.5.0/24/any

总公司端设备作同样的配置如下：
Ibg01/configure# interface ethernet 0/2
Ibg01/configure/interface/ethernet (0/2)#
Ibg01/configure/interface/ethernet (0/2)# ip address 160.0.1.2/24
Ibg01/configure/interface/ethernet (0/2)#exit
Ibg01/configure# interface ethernet 2/0
Ibg01/configure/interface/ethernet (2/0)#
Ibg01/configure/interface/ethernet (2/0)# ip address 170.0.5.1/24
Ibg01/configure/interface/ethernet (2/0)# exit
Ibg02/configure# firewall internet
Ibg02/configure/firewall internet# interface ethernet0/2
Ibg02/configure/firewall internet# policy 1022 in self
ibg02/configure/firewall internet/policy 100 in# exit
ibg02/configure/firewall internet#exit
ibg02/configure# firewall corp
ibg02/configure/firewall corp# interface ethernet2/0
ibg02/configure/firewall corp# policy 1021 in
ibg02/configure/firewall corp/policy 1021 in# exit 3
ibg02/configure/firewall corp#exit
ibg02/configure# crypto
ibg02/configure/crypto#
ibg02/configure/crypto# ike policy pol1 160.0.1.1
ibg02/configure/crypto/ike/policy pol1 160.0.1.1# local-address 160.0.1.2
ibg02/configure/crypto/ike/policy pol1 160.0.1.1# key samsung123
ibg02/configure/crypto/ike/policy pol1 160.0.1.1#exit
ibg02/configure# crypto
ibg02/configure/crypto# ipsec policy pol1 160.0.1.1
ibg02/configure/crypto/ipsec/policy pol1 160.0.1.1# match address 170.0.5.0/24 170.0.1.0/24
ibg01/configure/crypto/ipsec/policy pol1 160.0.1.1# proposal 1

检查Ipsec VPN的详细情况
show crypto ike policy poll detail
show crypto ipsec policy poll
debug crypto all

DEBUG Crypto 所有信息
ibg02# debug crypto all

【责任编辑：赵毅 TEL：（010）68476606】

关于 VPN配置实例 Ubigate 三星的

文章

博文

帖子

· 如何利用局域网来实现VLAN的实例(01/18)

· 思科C3550交换机配置作为DHCP服务器工程实例(12/29)

· 实例讲解DB2中的表空间(12/03)

· 实例讲解Silverlight与AJAX的融合(11/28)

· 用Java EE 5实现的网上书店实例(11/15)

· CISCO路由器VPN实例配置方案－中文注解

· 一年保酷睿1.8G160G三星DVD刻

· 华为各种路由器配置实例

· 大型网络配置实例

· 北大青鸟教案(源代码&实例&PPT)集合!

专题

我也说两句

叫好

拍砖

中国领先的 IT 技术网站 ·
技术成就梦想

· 瑞友天翼再次握手浪潮 ..
· IT运维方案求“解”之道
· 政府行业网络管理软件..
· Catalyst 6000/6500 系..
· Practice Lab 3:多路由..
· Route-map policy

· 华为07年回顾：树立移..
· 华为HSPA/WCDMA商用网..
· 思科携Linux平台在统一..
· 音视频QOS质量保障配置..
· 一年保酷睿1.8G160G三..
· 华为各种路由器配置实例

排行榜

·路由器设置与口令恢复 (查看115107次)
·常用交换机典型配置 (查看65914次)
·华为员工自杀频频拷问企业文化 (查看55888次)
·网络管理员考试全真模拟试题(八.. (查看48952次)
·子网掩码教程 (查看41842次)

·2006无线校园建设与应用大会将召开 (1031个砖)
·51CTO专访：造中国特色VPN产品 (446个砖)
·子网掩码教程 (324个砖)
·三层交换技术专题 (263个砖)
·专访锐捷：校园网现状是少规划性价比差 (168个砖)

·51CTO调查：8成网友不满现在的网速 (674个好)
·51CTO专访：造中国特色VPN产品 (533个好)
·子网掩码教程 (455个好)
·三层交换技术专题 (261个好)
·无线网状网（MESH） (236个好)

·运营商封堵非法ADSL共享 (12月)
·计算机网络维护入门 (11月)
·十大正在慢慢死去的IT技术 (11月)
·未来五年可能必备的10大网络技术 (11月)
·华为七千人主动辞职规避新劳动法 (11月)

·龙芯8.9英寸超便携笔记本发布
·GE被曝血汗工厂

· Linux王冠RHCE认证通过..
· 赛门铁克CEO称McAfee和..
· 究竟是谁更“黑”？反C..
· 提醒:Vista/Linux双系..
· SOA China Forum 2008..
· 看Microsoft、Yahoo、G..
· 工业与信息化部迟迟未..
· 戴尔称预装Linux计划很..

· 三大主流Web浏览器大比..
· 保障无线连接安全的八..
· 上周安全回顾：微软发..
· 详解DBA的SQL Server 2..
· 在遗留系统之上运作重..
· 思科全面支持开源Linux..
· 本周自测进行中：Linux..
· 赛门铁克发布重组及裁..

订阅技术快讯

电子杂志下载

名称：SQL Server数据库管理精品黄皮书
简介：书中文章经过精挑细选，便于用户能根据自己的实际工作和学习，快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息，以及DBA管理人员在数据库管理工作中

名称：2007路由技术大全
简介：《2007路由技术大全》由51CTO.com网站特别策划制作，该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复，以及广大网友在实践使用中的心得经验和技巧文章，内容注重实用性，适用于初学者入门，也适合多年从业者提高，是一本实践和理论完

名称：网络安全精品应用黄皮书
简介：《2007精品网络安全黄皮书》包括了9个大类24个小类， 800余篇文章，内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范，涉及到了安全应用的全部领域, 由浅至深内容全面。

专题

最多好

最多砖