1 适用范围和业务需求
适用范围
本方案适用于零售门店与总部VPN互联场景,为零售门店与总部之间建立安全可靠的数据传输通道,支持通过Internet、专线等方式构建企业多点、多分支的一体化网络。
业务需求
- 接入需求
需要满足零售门店通过Internet或运营商专线接入总部。
- 安全性需求
零售门店需要与总部通过IPsec互联,保证数据传输安全可靠。
- 认证需求
无认证需求。
- 计费需求
无计费需求。
- 管理运维需求
通过Web网管统一管理,简化运维。
2 方案设计
组网图
零售门店与总部VPN互联组网方案如下图所示。
网络设计分析
3 配置思路和数据规划
配置思路
采用如下的思路进行配置:
- 配置AR1220-S的两个接口通过静态IP方式接入Internet和运营商专线网络,配置两个策略模板方式的IPSec安全策略,并绑定到两个出接口。总部接入Internet的接口还需要部署NAT业务,实现总部主机、运营商专线接入的零售门店主机访问Internet公网资源,通过ACL控制IPSec保护的数据流不进行NAT转换。
- 配置AR101-S和AR121-S通过PPPoE拨号方式从运营商动态获取IP地址。采用ACL方式建立IPSec策略并绑定到Dialer接口,零售门店访问总部服务器的数据流通过IPSec加密保护。零售门店主机访问Internet公网数据流无需经总部转发,门店出接口部署NAT业务,通过ACL控制IPSec保护数据流不进行NAT转换。
- 配置AR161-S通过静态IP方式接入运营商专线网络。采用ACL方式建立IPSec策略并绑定到出接口,零售门店访问总部服务器需要IPSec加密保护。专线接入的零售门店主机不具备直接访问Internet的能力,数据流通过运营商专线经总部转发。
- 总部、零售门店的主机均通过DHCP方式从出口网关动态获取主机地址和DNS服务器地址。DHCP直接推送运营商DNS服务器地址,设备无需配置DNS代理数据。
数据规划
表3-1 AR1220-S业务数据规划
项目 |
数据 |
---|---|
Internet上行接口GE0/0/0 IP地址 |
60.1.1.1/24 |
运营商专线上行接口GE0/0/1 IP地址 |
10.100.1.1/24 |
下行接口Eth0/0/3 IP地址 |
10.1.1.1/24 |
NAT方式 |
EasyIP |
Internet接入接口IPSec VPN对接参数 |
|
运营商专线接入接口IPSec VPN对接参数 |
|
表3-2 AR101-S业务数据规划
项目 |
数据 |
---|---|
上行接口GE0/0/4 IP地址 |
PPPoE动态获取 |
下行接口GE0/0/3 IP地址 |
10.1.2.1/24 |
NAT |
EasyIP |
IPSec VPN对接参数 |
|
表3-3 AR121-S业务数据规划
项目 |
数据 |
---|---|
上行接口Eth0/0/4 IP地址 |
PPPoE动态获取 |
下行接口Eth0/0/3 IP地址 |
10.1.3.1/24 |
NAT |
EasyIP |
IPSec VPN对接参数 |
|
表3-4 AR161-S业务数据规划
项目 |
数据 |
---|---|
上行接口GE0/0/4 IP地址 |
10.100.2.1/24 |
下行接口GE0/0/3 IP地址 |
10.1.4.1/24 |
NAT |
不启用 |
IPSec VPN对接参数 |
|
表3-5 公网访问验证辅助数据
项目 |
数据 |
---|---|
运营商DNS服务器地址 |
114.114.114.114 |
公网测试目标主机域名 |
sit.com.cn |
公网测试目标主机地址 |
202.202.202.202 |
发表评论