现在大部分虚拟局域网的组建都通过IPSec的方式,其实用open***来组网也是很不错的方案。跟IPSec相比,open***的功能更加强大和灵活:

  1. 可以修改端口和通讯方式。

  2. 可以实现用户名认证和证书认证两种认证方式。

  3. 可以对客户端分配IP,从而实现更加细致的防火墙权限控制。

本文将简单介绍open***组网的一些简单步骤。

1. 总部的Open×××服务端配置

首先,在总部开启Open×××服务端。如图:

201907111562817150640062.png

给分部创建一个×××账号,设置密码和×××权限。如图:

201907111562817383662190.png

定义客户端(分部)的IP段(如果该用户用于远程办公拨入,则不需要定义客户端网段)。

201907111562818978834070.png

2. 分部的Open×××客户端配置

在分部的Open×××客户端中,主要做如下配置。首先要导入服务端的CA证书。

201907111562819617983380.png

添加到总部的Open×××隧道,如图:

201907111562819699102535.png

保存并应用新配置,然后点击“Open×××客户端“中的状态图标,可以看到当前的连接状态和流量统计信息。

201907111562819833587219.png

3. 总部的防火墙配置

经过上述配置后,分部的open***可以拨入到总部,但是内网的访问还需要在防火墙上进行开通。如果要允许分部访问总部内网,可以在总部的防火墙配置下述策略,方向选择”外网”,方向选择“转发”。如下图:

Open*** firewall02.png

如果要允许总部访问分部的内网,则需要在分部的防火墙上设置允许的策略。


经过上述配置后,即可实现两地互通。