第 4 章 : 站台對站台的虛擬私人網路
4.
路由
每個站台的管理員必須至少組態以下路由 :
注意 :
用於要到達使用 tunnel.1 的遠端 LAN 上位址的通訊流量的路由
用於其他所有通訊流量的預設路由,包括透過 ethernet3 到達網際網路然後到 達分公司位址 ( 東京分公司為 1.1.1.250,巴黎分公司為 2.2.2.250) 之外的外部 路由器的外部 VPN 通道通訊流量。外部路由器是預設閘道,安全性裝置將路 由表中沒有特定路由的任何通訊流量轉寄到該閘道。
如果東京分公司的安全性裝置從其 ISP 動態收到其外部 IP 位址 ( 即,從巴黎分公 司來說,東京分公司的安全性裝置是其動態對等 ),則 ISP 為東京裝置自動提供 預設閘道 IP 位址。
組態一個 null 路由,這樣如果 tunnel.1 的狀態變成「中斷」,且參考 tunnel.1 的所有路由都停用,則安全性裝置不會使用預設的路由,將前往遠端 LAN 的 通訊流量透過 ethernet3 在未經加密的情況下轉寄出去。null 路由使用遠端 LAN 作為目的地位址,但它會使通訊流量指向 Null 介面,Null 介面是一種會 將收到的通訊流量卸除的邏輯介面。為 null 路由指定一個比使用 tunnel.1 通往 遠端 LAN 的路由還要高的計量值 ( 遠離零 ),使 null 路由在使用優先順序上低 於參考 tunnel.1 介面的路由。
圖 31: 站台對站台通道的組態 - 政策 trust-vr Dst 10.2.2.0/24 使用 tunnel. 1 Dst 0.0.0.0/0 使用 eth1 閘道 : 1.1.1.250 Trust_LAN Trust, 10.1.1.0/24
東京 分公司
Trust 區域
ethernet1 10.1.1.1/24 NAT
Null 介面
trust-vr Dst 10.1.1.0/24 使用 tunnel. 1
Untrust 區域
Dst 0.0.0.0/0 使用 eth3 閘道 : 2.2.2.250
tunnel.1,未編號 ethernet3,1.1.1.1/24 外部路由器,1.1.1.250 網際網路
LAN
LAN
Tunnel: vpn1
東京 Untrust, 10.1.1.0/24
外部路由器,2.2.2.250
Null 介面
ethernet3,2.2.2.2/24 tunnel.1,未編號
Trust -> Untrust Trust_LAN -> 巴黎 ANY, Permit
Untrust 區域
巴黎 分公司
Trust_LAN Trust, 10.2.2.0/24
巴黎 ethernet1 Untrust, 10.2.2.1/24 10.2.2.0/24 NAT Trust -> Untrust Trust_LAN -> 巴黎 ANY, Permit Trust 區域 Untrust -> Trust 巴黎 -> Trust_LAN ANY, Permit
Untrust -> Trust 巴黎 -> Trust_LAN ANY, Permit
5.
政策
每個站台的 admin 定義允許這兩個分公司間通訊流量的政策 :
允許從 Trust 區域中的 "Trust_LAN" 到 Untrust 區域中的「巴黎」或「東京」的 任何種類的通訊流量的政策
允許從 Untrust 區域中的「巴黎」或「東京」到 Trust 區域中的 "Trust_LAN" 的 任何種類的通訊流量的政策
由於到遠端站台的偏好路由指定連結到 VPN 通道 vpn1 的 tunnel.1,因此政策不需 要參照 VPN 通道。
站台對站台 VPN 組態
77