网络工程师考试之VPN接入案例

2014年7月21日 作者： 来源：

基于对XX集团网络安全及外网用户移动办公的综合考虑，SecPath 1000安全网关放置在内网核心交换机S8512下。在出口防火墙1800F上做NAT 转换，静态映射VPN网关地址到公网。
XX集团现有需要通过VPN接入的主要是一部分和总部之间没有直接的专线连接的分公司和出差及移动办公用户。
针对已经使用VPN客户端设备的分公司，在SecPath 1000安全网关使用IPsec野蛮模式并启用NAT穿越功能接入分公司的局域网用户。对于出差及移动办公用户，在笔记本电脑上安装VPN软件，通过预定义的用户名和密码认证接入集团局域网。
IPsec野蛮模式VPN连接采用扩展的用户名认证方式，由分支机构主动连接VPN安全网关SecPath 1000。客户端即分支公司可以不必使用固定IP接入。
使用IPsec加密的VPN隧道，用户数据包不能被篡改。包括从IP地址，IP数据头，协议端口号，VPN隧道两端都有加密和防篡改, 否则对端接收后不能正确解密。但是，SecPath 1000安全网关所在位于NAT设备之后，通过NAT地址转换进入内网。NAT的基本原理在于修改报文的IP地址和端口信息，这样，一旦报文经过NAT设备，VPN隧道两端就不可能建立IPSEC隧道连接。
SecPath 1000安全网关支持IPsec隧道的NAT穿越。通过在IPSEC报文前增加一层UDP报文头的方式， 防火墙只修改封装的UDP头，不修改IPSEC数据报文的内容，使得虽然经过NAT转换，仍然可以正常建立IPSEC隧道连接。