香港某大学防火墙课件通道路由GREv.pptVIP

* 上圖為新竹PowerStation的設定，在建立好內部網段物件後，接著新增 一條 ”Before-DMZ” 規則，來源位址為 localhost、Net-HsinChu，目的地 位址為 net-TPE，所有的服務均經由line-gre1 與 line-gre2，且不需 NAT 偽裝。 其中 net-HsinChu 及 net-TPE 分別為先前所建立之新竹與台北網段物件 * 至於台北分公司 PowerStation 的設定大多與 HsinChu PowerStation 成相反的設定。包括 了在網路介面的設定中，Local Tunnel Address 及 Peer Tunnel Address 所見恰與新竹的 設定顛倒。此外，在 NAT 模組裡，路由規則中的來源位址與目的地位址也是與新竹的設定 相反。 解讀該路由設定規則： 來源位址為 localhost、net-TPE 經由 line-gre1 至 net-HsinChu 存取所有的服務，且不需 NAT 偽裝。 其中 net-HsinChu 及 net-TPE 分別為先前所建立之新竹與台北網段物件 * 由於設定好 GRE 的介面後，系統會自動建立出 GRE Tunnel 所使用的線路 出來，所以也可以在線路狀態的頁面中監看這些 VPN 線路的線路品質。 圖中欄位分別為： Time：偵測時間 Status：偵測狀態 U/D (Kbps)：使用的頻寬量 RTT (ms)：偵測回應的時間 N/F：正常與錯誤的次數 (Normal/Failure) Gateway：遠端通道位址 Device：GRE Device Remote Host：使用VPN之遠端位址 Method：偵測方式 Protocol：偵測協定 若需更多資訊，請參照 “0011-Link Status Detection” 此份文件 * 一般來說，GRE Tunnel 是一種未加密的 VPN 網路，倘若要在封包傳輸過 程中加密保護的話，則需在網路界面設定中，勾選 Encryption，才是一條 加密性的 VPN 網路。這裡管理者需注意的是加密較耗系統資源，管理者 可以視情況選擇是否要加密。 * 實例說明 2： 假如客戶原本已有 VPN 設備，現在多申請一條對外線路，希望能做 VPN 的 備援及負載平衡，此時 PowerStation 的設定方式為： 將 PowerStation 放在 VPN Gateway 之前，且使用 Proxy ARP 的模式，然 後在兩端的 PowerStation 之間，建立出兩條 Tunnel；此時，當左邊 Site 的 使用者要到右邊 Site 的 VPN traffic，就可以走這兩條線路。(但實際上可以 設定 4 條 VPN 通道) * 建立 GRE Tunnel 之標準作業流程： 在 Network Configuration(網路組態) ，點選 Network Interfaces(網路介面) ，首先先設定網卡所連接的實體線路資訊。 接著，選擇 GRE 裝置，配置對應的實體線路及本地端及遠端 IP地址。 在 MultiHoming 模組中，點選 Outbound Policy子模組，建立兩端內部網段物件。 最後，在 Outbound Policy 模組中，新增一條 GRE Tunnel 路由規則。 * 設定流程如先前所提，先完成實體線路的設定，再建立 GRE Tunnel，接著 將相連的網卡介面開啟 Proxy ARP 功能，不過，由於現有 VPN Gateway， 所以 PowerStation 毋須負責 VPN 加密處理，僅需幫 VPN traffic 達成 Load Balance 的目的，因此在建立 GRE Tunnel 時, Encryption 欄位不需 勾選。 最終，在 MultiHoming 模組中，點選Outbound Policy 子模組，建立兩端內 部網段物件，分別是 VPN-GW1 與 VPN-GW2。除此之外，還需新增一條 ”Before-DMZ” 規則，來源位址為 VPN-GW1，目的地位址為 VPN-GW2，所 有的服務均經由line-gre1 與 line-gre2，且不需 NAT 偽裝。 * PowerStation 技術教育訓練 課程 27:通道路由(GRE) VPN 解決方案 Mobile VPN VPN Aggregation PowerStation VPN 解決方案 VPN 負載平衡：Tunnel Routing (1/2) 以 VPN 種類(協定) 做區分 VPN Aggregation PPTP VPN GRE IPSec GRE VPN 負載平衡：Tunnel Routing (2/2) 流量負載平衡