深信服VPN网关部署模式切换至单臂模式实例
由于历史原因,公司VPN采用了网关模式部署,此种方式公网IP直接设在了VPN设备上,直接方便。但也存在着一些不利因素:1、一条专线多个IP,分散配置,对于流量控制、安全管理都十分不利。2、设备直配公网IP,存在安全隐患,一旦设备存在安全漏洞,内网直接会受到威胁。为此索罗找了一个晚上,将设备切换成了单臂旁挂模式部署,现做一下小记:
- 保存设备配置,收集所有已知信息。
模式切换涉及到防火墙、核心交换、VPN设备。所以首先应保存下载好以上设备的配置,以防万一。切换不成功,一定能有恢复到原状的保障。
收集VPN设备的出口、内网IP(172.20.9.5)、网关地址;各个分支机构的网段信息(总部:172.20.*.* ;分支1:172.21.*.* ; 分支2:172.16.*.*)。
- 在防火墙上设置公网出口IP,(*.*.36.98)。在墙上完成端口映射(TCP 80、443、4009;UDP 4009)图1。
80、443 用于SSL VPN的使用。
4009 用于IPSEC VPN的使用。
设置访问控制列表,允许对VPN设备的以上端口的访问。图2
- 在核心上增加分支机构的路由,指向VPN设备。
router(config)#ip route 172.21.0.0 255.255.0.0 172.20.9.5
router(config)#ip route 172.16.0.0 255.255.0.0 172.20.9.5
- 去除VPN设备的公网接入的连线。
- 进入VPN后台管理,切换VPN部署模式
进入“系统设置”—“网络配置”—“部署模式”
填写相关参数,保存,重启OK!
************************************************
后记:自以上过程中,有段插曲。在vpn控制后台从网关模式切换至单臂模式时,系统一直处于“正在提交配置,请稍候”的状态。尝试n遍,每次等待10余分钟都无响应。致电深信服客服,还是很给力的,24小时技术支持,终于搞定了。
在提交信息的时候请务必使用IE浏览器、在兼容视图中添加VPN内网IP,在IE设置中添加VPN IP为可信地址。如有多线路接入,请关闭多线路接入后再切换模式。以上操作虽然不太起眼,但是耗费了很长时间。
以上是深信服VPN设备部署模式切换的小记,希望能对有此需求的兄弟们有个借鉴的帮助。