最近一个月的时间,一直在研究公司×××的实现方法,苦于掌握的知识太少,走了许多的弯路,期间好几次都以为山穷水尽而几近放弃,但最终还是坚持了下来,终获成功,回头看来,这一路的艰辛也变成了一种宝贵的财富。现把这其中的点滴记录下来,为备忘,亦分享经验,共同进步。
公司的网络布局说起来也不复杂,这里就不用拓扑图了:
×××用户——Internet——JuniperNS50——ISA2006——核心交换机(划分了2个不同网段的VLAN)——2个不同网段的客户端
而我们要实现的最终目标就是客户能够通过×××拨号,由Internet进入JuniperNS50构建的×××环境,通过ISA2006的管理设置,访问到核心交换机后面的2个不同网段内的电脑。
我们假定它们的IP设定情况如下:
×××用户所在局域网IP段为192.168.200.1~254/255.255.255.0,网关和DNS根据实际情况进行设置,要求要能访问Internet,×××用户拨入JuniperNS50后分配的IP地址池为192.168.20.100~200/255.255.255.0,网关同它所取得的IP(会自动分配)
JuniperNS50的ethernet1口连接ISA2006的WAN网卡,IP为10.0.0.1/255.255.255.0,ethernet3口连接Internet,无论动态还是静态IP地址均可
ISA2006的WAN网卡地址为10.0.0.2/255.255.255.0,网关10.0.0.1,LAN网卡直接接入核心交换机,它的地址为192.168.0.11/255.255.255.0,网关为空,DNS与DC是同一台服务器,地址为192.168.0.10
核心交换机的VLAN1地址为192.168.0.3/255.255.255.0,它为0网段内客户机的网关(除了ISA2006的LAN网卡网关为空),VLAN2地址为192.168.2.1/255.255.255.0,它为2网段内客户机的网关
VLAN1用户的地址段为192.168.0.1~254/255.255.255.0,VLAN2用户的地址段为192.168.2.1~254/255.255.255.0,注意不要与VLAN本身的地址冲突(比如192.168.0.3和192.168.2.1就不能被分配给其他电脑使用了),DNS均为192.168.0.10
特别需要注意的是,×××用户所在的局域网IP地址段不应与其它任何一个IP地址段相同,否则需要在本机上自行添加相应的路由才能正常访问,个人感觉,这种方式不适合普通用户的使用,也不在本文的讨论范围以内,如有使用需要,请查找相关说明。
由于涉及的内容比较多,我把整个的实现过程按照不同的设置部分分为三篇来写:
《公司×××访问建立之一JuniperNS50实现远程×××(Only L2TP User)》
《公司×××访问建立之三核心交换机Huawei Quidway S6502的设置》
下面,我们先开始本章的内容描述。这部分的内容,主要是通过学习wzknet大大的技术日志得来的经验,这里特别对他表示感谢,以下是他blog的地址,推荐大家都去看看,也许就能像我一样找到自己需要的知识。
http://k968888.blog.sohu.com/entry/5684071/
首先我们登录JuniperNS50的Web管理(当然你也可以通过命令行来实现,具体的方法wzknet大大有专门的文章),新建一个IP Pools(地址池),这个地址池内的IP地址就是×××用户拨入后所取得的“本地”IP地址(此时的×××客户机除了有自身局域网内的IP,还会有一个由JuniperNS50的×××所分配的IP)
Objects—IP Pools—New
然后修改L2TP的缺省设置,对于DNS服务器的设置,请根据自己的不同情况进行修改
×××s—L2TP—Default Settings
而后新建一个L2TP的Tunnel(通道),这里选择ethernet3是由于这个端口是JuniperNS50上连接Internet的端口
×××s—L2TP—Tunnel—New
我们可以新建一个允许×××用户访问的地址簿,如果不定义的话,默认所有的内网电脑都可以被访问,为了测试方便,我没有做这个限制
Objects—Addresses—List—New
接下来,新建一个L2TP用户
Objects—Users—Local—New
我们可以新建一个L2TP的用户组,以方便以后的归类管理
Objects—Users—Local Groups—New
输入组名,选中刚才新建的L2TP用户"admin",使用"<<"将它移入组成员菜单中
最后新建一条访问策略
Policies—From Untrust To Trust—New
其中"Destination Address"—"Address Book Entry"选项选择的就是刚才新建的访问地址簿,由于我没有设定这个限制,所以我这里选择的是"Any",勾选"Logging"选项记录访问信息
好了,到此在JuniperNS50上进行的×××设置全部完成,以下是在×××客户机上进行的设置说明,以Windows XP或Windows 2003为例。
另外,Windows XP或Windows 2003需要修改注册表,运行"regedit",找到这个路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters,新增或修改类型为REG_DWORD的ProhibitIPSec的值为1
OK,然后在用户名和密码栏输入刚才在JuniperNS50上设置的相应内容后点击“连接”,正常情况下,你可以在屏幕的右下角看到连接成功的小电脑图标出现,至此,第一篇JuniperNS50远程×××(Only L2TP User)全部说明完毕,但此时的×××用户还不能访问0和2段的内网电脑,接下来的设置,请大家参看《公司×××访问建立之二ISA2006服务器的设置》。
转载于:https://blog.51cto.com/liufisky/323380