知识库与软件

VPN移动用户访问三层交换机下服务器的案例

文档编号:1215
浏览:11036 评分:16
最后更新于:2012-06-26

 

此文档基于HiPER4210G V10.3版本
 
适用型号及版本:V10及以上支持VPN功能的设备
 
网络拓补:
 
网络环境
 
1、用户网络接入使用的为HiPER 4210G,同时作为VPNserver软件版本为kv4210Gv10.3.bin
2、4210G lan口地址为192.168.16.1/24
3、三层交换机为华为的S5516,与4210G相连端口所在VLAN 地址为 192.168.16.254,S5516配置默认路由网关指向192.168.16.1,同时划分了4个VLAN分别为:192.168.100.0/24,192.168.101.0/24,192.168.102.0/24,192.168.103.0/24,其中103为服务器所在VLAN
 
用户需求:
 
1、 内网电脑可以正常访问互联网;
2、 4个VLAN之间不可以互访;
3、 移动用户拨到4210G上之后可以访问服务器(IP地址为192.168.103.100/24)
 
配置步骤:
 
1、 S5516三层交换机添加默认路由:
命令:ip route-static 0.0.0.0 0.0.0.0 192.168.16.1 preference 60
2、 4210G上添加静态路由(即回程路由),配置好之后列表如图一的路由信息列表中所示,添加静态路由方法请参考图(一)图(二)的红色数字步骤:图示是添加到192.168.103.0/24的路由网关为192.168.16.254
                                               图(一)
                                               图(二)
这两步做完后,内网4个VLAN均可以正常上网,即用户的第一个需求已完成;
3、对于VLAN间不可以互访需要在三层交换机上做ACL实现(因划分的是三层VLAN,又因交换机上加了默认路由,4210G上有了回程路由,所以因为有了VLAN间路由,VLAN间目前是可以互访的)
参考命令如下:
1)acl number 3000                          
  rule 0 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.101.0 0.0.0.255
  rule 1 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.102.0 0.0.0.255
  rule 2 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.103.0 0.0.0.255
2)启用此ACL
    packet-filter ip-group 3000 rule 0
    packet-filter ip-group 3000 rule 1
    packet-filter ip-group 3000 rule 2
4、移动用户拨号访问103VLAN步骤
1) VPN配置->PPTP和L2TP ->拨入服务器 添加一个移动用户帐号
2) VPN配置->PPTP和L2TP ->全局配置    配置VPN地址池如图(三)
                                           图(三)
至此客户所有需求已经完成。
 
总结:
 
此需求特别需要注意
1、移动用户地址池即图(三)的配置,因为地址池很多用户会认为vpn用户目的是为了访问103这个VLAN所以就将地址池设置为103这个网段的地址,但是如果这么配置的话,移动用户获取到这个网段的地址后,在访问103.100这个服务器的时候,数据在返回到三层交换机后,就会被交换机在103这个VLAN广播,而不会发送到4210G的。所以就会出现无法访问的情况。
2、ACL配置,因为在这里遇到的三层交换机是华为的S5516,如果是CiSCO的设备请注意默认ACL有一条Deny any any的ACL的,所以请注意做了ACL后是否会禁止其他所有的数据。

 

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号