第 7 章 : 進階虛擬私人網路功能
建立集中星型 VPN 如果建立兩個在安全性裝置處終止的 VPN 通道,可以設定一對路由,以便讓安全 性裝置引導通訊流離開一個通道到達另一個通道。如果兩個通道都包含在單一區域 內,就不需建立允許通訊流從一個通道傳遞到另一個通道的政策。只需要定義路 由。這種配置就是所謂的集中星型 VPN。 也可以在一個區域內組態多個 VPN,並在任意兩個通道之間轉送通訊流。 圖 88: 集中星型 VPN 組態中的多個通道
Untrust 區域
多個集中星型 VPN 通道
安全性裝置在通道間路由通訊流量。
在本範例中,東京和巴黎的兩個辦事處之間透過一對 VPN 通道 VPN1 和 VPN2 進 行通訊。每個通道都從遠端站台開始,並終止於紐約的企業網站。位於企業網站的 安全性裝置引導通訊流離開一個通道進入另一通道。 在通道間引導通訊流量時,由於兩個遠端端點都在相同區域 (Untrust 區域 ) 中,因 此,透過停用內部區域阻斷,位於企業站台的安全性只需進行路由尋找,而不必進 行政策尋找。 注意 :
或者,也可以保持啟用區域內部封鎖,並定義允許兩通道介面之間的通訊流量的 區域內部政策。 將通道連結到通道介面 tunnel.1 和 tunnel.2,二者均無編號。這兩個通道使用「自 動金鑰 IKE」,有預先共享金鑰。選擇為階段 1 和階段 2 方案都預定義為 "Compatible" 的安全層級。將 Untrust Zone 連結到 untrust-vr。Untrust Zone 介面 為 ethernet3。
注意 :
以下組態針對以路由為基礎的 VPN。如果組態以政策為基礎的集中星型 VPN,必 須在政策中使用 Trust 和 Untrust 區域;不能使用使用者定義的安全區域。
建立集中星型 VPN
293