在部署企业网络的时候,经常需要搭建多个Site之间的虚拟私有网络,实现多站点之间的互通。
但是,根据各分支站点的规模不同,可能遇到没有固定外网IP的情况,今天就跟大家一起讨论一下,两个Site之间搭建虚拟私有网络,但是两个Site都没有固定外网IP地址,该如何实现呢?
再进行拓展一下,如果只有一个Site有公网IP地址,会有哪些解决方案?
如果两个Site都是公网地址,也会帮大家总结一下有哪些解决方案。
最后会给大家总结,虚拟私有网络搭建过程中需要重点考虑的问题和遇到故障的时的排错思路。
本文最后也会共享给大家配置脚本。
01拓扑描述
两个Site分别在上海office和苏州Office
两个Site接入Internet的方式都是PPPOE拨号
两个Site的网络架构都是路由器直接连接出口ASA防火墙
需要实现Site-to-Site的虚拟私有网络访问
同时还要实现不影响各自Site的Internet访问
02解决方案1a
方案说明:
部署之前:由于两个Site都是不固定IP地址,所以在这里需要使用域名的方式,来使得两个Site(至少有一个Site,本项目中是苏州Site)用唯一的域名来代替不固定的IP地址,这样就可以使用域名来实现虚拟私有网络的建立。
都是Cisco的设备,可以考虑Cisco私有EzVPN
EzVPN服务器可以使用ASA,客户端可以使用ASA5505或者路由器
因为苏州Site是唯一的域名,所以可以在上海Site EzVPN路由直接建立连接
上海Site防火墙上配置了NAT,所以记得在两个Site上开启NAT-T
注意理解EzVPN Client集中模式的区别,这里使用network-extend模式
02解决方案1b
方案说明:
部署之前:由于两个Site都是不固定IP地址,所以在这里需要使用域名的方式,来使得两个Site(至少有一个Site,本项目中是苏州Site)用唯一的域名来代替不固定的IP地址,这样就可以使用域名来实现虚拟私有网络的建立。
如上所提,EzVPN的服务端也可以使用Router来实现
还需要注意开启NAT-T技术来穿越中间的NAT设备
除此之外,这种解决方案还需要注意在苏州Site ASA上配置DNAT,只有这样才能让上海Site主动发起的时候能够连接到苏州Site的Router
同时还要注意上面提到的EzVPN的Client模式
02解决方案2
方案说明:这不是一个一劳永逸的方式,因为两个Site都没有固定的IP地址,但是不管如何只要在PPPOE拨号成功,就会拿到一个IP地址,尽管它可能会变化,不是固定的,我们可以不用管,直接去实现ASA的L2L的虚拟私有网络。
可以使用PPPOE拿到的IP地址,直接配置ASA的L2L虚拟私有网络
这种方案没有tunnel接口,也就是说不能使用动态路由,不能实现隧道流量的策略控制等
当PPPOE重新拨号的时候,IP地址会发生变化,需要手动改变配置,重新连接
03补充:一个Site有公网地址
如果遇到只有一个Site有公网IP地址的情况,我相信大家应该会合理选择使用合适的解决方案实现自己的目的
04补充:两个Site有公网地址
如果两个Site都有公网IP地址,根据 不通的设备,你可以选择的解决方案太多了,可以在评论区给郭主任流量,互相讨论。
05常见问题总结和排错思路
通的网络只有一种可能,不通的网络各有各的不通,再次帮大家总结可能的坑:
请先确认你的公网IP地址,是真真的公网IP地址,很多运营商都只会默认给你分配内部的私有IP地址,虽然看上去很像IP地址,判断是否是真真的IP方法有很多种,如果一个Site有isakmp状态,一个没有,很有可能是其中一个Site不是公网地址,如果两边都没有isakmp状态,很显然两边都不是公网IP,当然,最简单的判断方法就是给你的运营商打电话,让他们确认,并要求给你分真真的公网IP地址。
确认你的运营商没有过滤UDP 500和UDP 4500的流量,这是能建立连接的数据类型
确认你的NAT-T是开启的
确认你的静态映射是正确的
最后,提醒各位调试故障的时候,心诚则灵,不要看小电影,hahaha
06EzVPN配置
EzVPN-Server-Router
username ezvpn password 0 east
aaa new-model
aaa authentication login vpn local
aaa authorization network vpn local
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp keepalive 10 10
!
crypto isakmp client configuration group vpngroup
key ciscoezvpn
pool vpnpool
include-local-lan
!
!
crypto ipsec transform-set vpn esp-3des esp-sha-hmac
!
crypto dynamic-map dynamic 1
set transform-set vpn
crypto map vpn client authentication list vpn
crypto map vpn isakmp authorization list vpn
crypto map vpn client configuration address respond
crypto map vpn 3 ipsec-isakmp dynamic dynamic
interface GigabitEthernet0/0
crypto map vpn
ip local pool vpnpool 10.0.68.1 10.0.68.100
EzVPN-Client-Router
crypto ipsec client ezvpn vpn
connect auto
group vpngroup key ciscoezvpn
local-address FastEthernet0/1
mode network-extension
acl 100
peer higlab.xicp.net
username ezvpn password east
interface FastEthernet0/1
crypto ipsec client ezvpn vpn outside
interface FastEthernet0/0
crypto ipsec client ezvpn vpn inside
access-list 100 permit ip any any
06ASA L2L配置
开启ISAKMP
crypto ikev1 enable Outside
配置第一阶段策略
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
(crypto ikev1 policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400)--------ASA默认策略,ASA做远程拨号VPN
第一阶段秘密
tunnel-group 61.128.1.1 type ipsec-l2l
tunnel-group 61.128.1.1 ipsec-attributes
ikev1 pre-shared-key *****
第二阶段转换集
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
第二阶段感兴趣流
access-list Outside_cryptomap extended permit ip host 1.1.1.1 host 2.2.2.2
第二阶段MAP
crypto map Outside_map0 1 match address Outside_cryptomap
crypto map Outside_map0 1 set peer 61.128.1.1
crypto map Outside_map0 1 set ikev1 transform-set ESP-DES-MD5
接口下调用
crypto map Outside_map0 interface Outside
原文链接:
https://mp.weixin.qq.com/s?__biz=MzA3NjcwODI5MQ==&mid=2650548270&idx=1&sn=3d2ac7505d2148e7d0ac4c3c53f0a2e2&chksm=8755a882b0222194f9655ea93135bea34254393fc65fcaaeae48cb97072f4fbce06e34d7c67a&token=1143877181&lang=zh_CN#rdmp.weixin.qq.com/s?__biz=MzA3NjcwODI5MQ==&mid=2650548270&idx=1&sn=3d2ac7505d2148e7d0ac4c3c53f0a2e2&chksm=8755a882b0222194f9655ea93135bea34254393fc65fcaaeae48cb97072f4fbce06e34d7c67a&token=1143877181&lang=zh_CN#rd
发布于 2020-10-16 13:29
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如有侵权请联系网站管理员删除,联系邮箱1856753@qq.com。
