1 / 56

安联防火墙 /VPN 网关软件 VPN 功能评估指南

安联防火墙 /VPN 网关软件 VPN 功能评估指南. http://www.constic.com info@constic.com 2004 年 3 月 6 日. 内容提要. 本文对安联防火墙 /VPN 网关软件所实现的 IPSecVPN 功能进行了全面介绍,并提供了大量的配置案例,为用户快速、准确评估如何建立 VPN 提供了明确指导;同时,本文也可以作为产品的使用教程,使用户能够迅速掌握产品 IPSecVPN 功能的使用、配置方法。. 目录. 启用 VPN 功能 建立 VPN 的基本条件 隧道策略概要 配置隧道策略 认证用户授权 VPN 的应用技巧

myles-evans
Download Presentation

安联防火墙 /VPN 网关软件 VPN 功能评估指南

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 安联防火墙/VPN网关软件VPN功能评估指南 http://www.constic.com info@constic.com 2004年3月6日 1

  2. 内容提要 本文对安联防火墙/VPN网关软件所实现的IPSecVPN功能进行了全面介绍,并提供了大量的配置案例,为用户快速、准确评估如何建立VPN提供了明确指导;同时,本文也可以作为产品的使用教程,使用户能够迅速掌握产品IPSecVPN功能的使用、配置方法。 2

  3. 目录 • 启用VPN功能 • 建立VPN的基本条件 • 隧道策略概要 • 配置隧道策略 • 认证用户授权 • VPN的应用技巧 • VPN监控与日志 • 典型的VPN网络方案 • 在已有防火墙的网络中实现VPN通讯 • 通过中心VPN服务器实现多个远程局域网互联 3

  4. 启用VPN功能 • 准备工作 • 启动VPN功能 • VPN功能菜单 4

  5. 准备工作 1、在使用安联防火墙中的VPN功能之前,请将系统中的“IPSec Policy Agent”服务停止并设为禁用状态 2、如已安装了第三方IPSec程序,请将其卸载 示例:在Windows 2000 Server上停止IPSec服务。 在“管理工具”程序组中运行“服务”命令,打开“服务”窗口;在窗口中选择“IPSec Policy Agent”服务,并将该服务停止并将启动属性改为“已禁用”。 5

  6. 启用VPN功能 • 在防火墙管理程序中执行程序菜单命令“File(文件) Properties(道具)”打开防火墙属性配置窗口 • 选择“Firewall Server”页面,并选择“IPSec VPN Support”功能模块 • 点击“OK”按钮,系统将保存配置并重新启动 6

  7. VPN功能菜单 • VPN功能启用后,防火墙管理程序的主菜单中将显示相关的VPN功能菜单 隧道配置 用户管理 快速配置导向 更新配置 IPSec用户监视器 IPSec隧道监视器 IPSec服务日志 IKE协商日志 扩展认证日志 7

  8. 建立VPN的基本条件 • 最基本的VPN网络结构 • 何谓“可寻址”? 8

  9. 最基本的VPN网络结构 通过VPN实现两个或多个内部网络之间的相互通讯 基本条件: • 为每个局域网配置一个VPN网关 • 至少有一个VPN网关是“可寻址”的 Internet VPN网关 VPN网关 通过VPN实现远程主机与内部网络之间的相互通讯 基本条件: • 为局域网配置一个VPN网关 • 在远程主机上安装VPN终端软件 • VPN网关是“可寻址”的 Internet VPN主机 VPN网关 9

  10. 何谓“可寻址”? 对于任何一台主机或网关,如果随时能够通过一个固定IP或固定域名被Internet上的其它主机访问到,那么它就是“可寻址”的;否则,它是不可寻址的。 对于“可寻址”的VPN网关/主机而言,在使用NAT-T技术时,它必须保证其它VPN主机/网关能够访问到它的UDP 500和UDP 4500端口。 可寻址VPN网关需要具备的条件(满足以下条件之一既可) • VPN网关的外部接口IP使用一个静态公共IP • VPN网关的外部接口IP使用一个动态公共IP,但该动态IP能够通过一个固定的域名进行实时解析 • VPN网关使用内部IP,并通过前置的防火墙接入Internet,前置防火墙具备静态公共IP,且能够为VPN网关提供UDP 500和UDP 4500端口映射 • VPN网关使用内部IP,并通过前置的防火墙接入Internet,前置防火墙使用动态公共IP但有固定的域名,且能够为VPN网关提供UDP 500和UDP 4500端口映射 10

  11. 隧道策略概要 • IPSecVPN功能模块的组成部分 • 隧道策略的基本配置项目 • 隧道策略的类型 11

  12. IPSecVPN功能模块的组成部分 IPSec VPN功能模块的组成 隧道策略 用户根据VPN通讯需求制定隧道策略。 IKE服务根据隧道策略所规定的协商方法和身份验证条件与远端VPN主机/网关进行协商,并建立实时安全关联。 IKE服务程序 安全关联 安全关联规定了对哪些数据包需要进行IPSec处理以及在进行IPSec处理时使用何种算法。 IPSec引擎对所有的数据包进行检查,并对符合安全关联所规定的条件的数据包进行IPSec处理。 IPSec引擎 IPSec模块需要根据用户配置的隧道策略进行IKE协商并对符合条件的数据包进行IPSec处理,所以配置合理的隧道策略是实现VPN通讯的关键。 12

  13. 隧道策略的基本配置项目 13

  14. 隧道策略的类型 静态隧道策略 • 指定了远程VPN网关/主机地址的隧道策略称为静态隧道策略。显然,根据静态隧道策略,IKE服务可以主动向远程VPN网关/主机发起IKE协商。静态隧道策略主要应用于以下场合: • 如果VPN隧道两端中都是可寻址的,那么至少一端必须配置静态隧道策略。 • 如果VPN隧道两端中只有一端是可寻址的,那么在不可寻址的一端必须配置静态隧道策略。 动态隧道策略——隧道策略模板 • 未指定远程VPN网关/主机地址的隧道策略称为动态隧道策略。显然,按照动态隧道策略,IKE服务将无法主动向远程VPN网关/主机发起IKE协商,而只能被动接受对方的IKE协商请求。动态隧道策略主要应用于以下场合: • 如果VPN隧道两端中都是可寻址的,那么有一端可以配置动态隧道策略。 • 如果VPN隧道两端中只有一端时可寻址的,那么在可寻址的一端必须配置动态隧道策略。 在一个VPN网关/主机上只能配置一个动态隧道策略,该隧道策略应当能够为所有需要接入本地网络的远程不可寻址VPN网关/主机提供IKE协商服务. 14

  15. 配置隧道策略 • 隧道配置窗口 • 新建隧道策略 • 配置本地端点的属性 • 配置远程端点的属性 • 如何配置动态隧道策略中的远程端点属性 • 配置VPN策略 • 配置VPN策略(高级设置) • 配置认证模式 • 更新隧道策略 15

  16. 隧道配置窗口 通过系统菜单中的命令“IPSec->Tunnel Workshop”打开隧道配置窗口 右栏为隧道策略的属性配置页面 左栏列出了已建立的隧道策略。带红色X标记的隧道策略为失效状态。 16

  17. 新建隧道策略 在左栏任意位置点击鼠标右键,并在弹出菜单中执行“Create New SA”命令 输入隧道策略名称,只允许使用26个字母和减号及下划线,不允许使用空格键 输入对隧道策略的描述信息,请不要使用中文 点击“下一步”进入本地端点属性配置页面 17

  18. 配置本地端点的属性 My_IP是系统函数,代表了VPN网关/主机的当前外部IP Road Warrior指的是移动主机,如果本地端点是不可寻址的,应该使用此参数 • 说明本地VPN网关/主机的IP。参数为: • My_IP • Road Warrior 如果本地端点是独立的VPN主机,应该使用“No Local Net(无本地网络)” 如果本地端点是VPN网关,则应该输入需要与远程网络进行VPN通讯的本地内部网络地址 • 说明本地网络的地址。参数为: • No Local Net • 输入网络地址/掩码 本地端点的高级配置选项,通常无需对这些选项进行配置,更多信息请参考产品使用手册 点击“下一步”继续配置隧道远程端点的属性 18

  19. 配置远程端点的属性 如果远程端点是不可寻址的(即:动态VPN策略),必须使用参数“Road Warrior” 如果远程端点可通过固定的IP或域名寻址(即:静态VPN策略),则需要输入其IP或域名 • 说明远程VPN网关/主机的IP。参数为: • Road Warrior • 输入IP或域名 如果远程端点是独立的VPN主机,应该使用“No Remote Net(无远程网络)” 如果远程端点是VPN网关,则应该输入需要与本地网络进行VPN通讯的在远程VPN网关后面的内部网络地址 • 说明远程网络的地址。参数为: • No Remote Net • 输入网络地址/掩码 远程端点的高级配置选项,通常无需对这些选项进行配置,更多信息请参考产品使用手册 点击“下一步”继续配置VPN策略 19

  20. 如何配置动态隧道策略中的远程端点属性 • 如果一个VPN网关/主机需要为多个不可寻址的远程端点提供接入服务,而且这些远程端点同时包含了独立主机和远程网络,那么,在配置动态隧道策略时需要将远程端点的属性配置为: • Remote Gateway/Host —— Road Warrior(即:远程端点的地址是预先不可知的) • Remote Net —— 0.0.0.0 • Remote Mask —— 0.0.0.0 远程端点可以是任何地址,即包括了独立主机也包括了远程网络 移动用户通过拨号接入Internet (不可寻址) 为了保证VPN终端和分支机构都能够通过VPN访问企业总部的局域网,在总部VPN网关上应该建立动态隧道策略;而在VPN终端上和分支机构的VPN网关上建立相应的静态隧道策略 VPN终端 Internet VPN网关 企业总部通过专线接入Internet (可寻址) VPN网关 企业分支机构通过ADSL接入Internet (不可寻址) 20

  21. 配置VPN策略 • IPSec封装模式,选项为: • Tunnel • Transport 绝大多数情况下需要使用Tunnel模式建立VPN隧道 通常无需要使用头部认证功能,即选择“No” • 头部认证所使用的算法,选项为: • No • MD5 • SHA 在使用ESP方式对数据包进行IPSec处理时,同时包含了对数据包头的验证功能 • 数据加密所使用的算法,选项为: • No • Yes • Des • 3Des • AES • Blowfish 建议选择AES算法,该算法的加密强度高且运算速度很快 选择“Yes”表示算法可以在IKE协商时由对方指定。 是否主动发起IKE协商。 如果远程端点是可寻址的,可选择主动发起IKE协商;如果远程端点是不可寻址的,则不能使用主动发起IKE协商功能 点击进入VPN策略的高级配置窗口 21

  22. 配置VPN策略(高级设置) 通常情况下,无需改变缺省的更新周期。但如果隧道两端之间有NAT设备,建议使用较短的更新周期。 注意:IPSec的更新周期一定要比ISAKMP的更新周期长。 隧道更新周期,即在一定时间后隧道的两个端点重新进行IKE协商。 在线路带宽足够的情况下(如:ADSL),建议不使用IP压缩,即选择“No”,此时使用IP压缩会加大CPU的负荷,可能反而降低VPN通讯的吞吐量 使用LZS算法需要购买额外的许可证 • 配置是否使用IP压缩,可选择的参数为: • No • Yes • Auto • Deflate(算法) • LZS(算法) NAT-T技术保证了两个VPN端点可以透过NAT设备建立VPN隧道。建议使用参数“Auto”,即在IKE协商时自动检测链路中是否存在NAT设备 NAT-T技术,可选择的参数为: - No - Auto 野蛮模式IKE协商,通常无需使用 第三方兼容性选项,通常无需使用 点击“下一步”继续配置认证方案 22

  23. 配置认证模式 共享密钥匙一种最简单的认证方式,采用时,隧道两端都必须输入相同的密钥。 除了RSA认证以外,在使用其它认证方式时都需要同时使用共享密钥认证 输入共享密钥 • 选择认证方式,可选择的参数包括: • Preshared Secret(共享密钥) • Client-IdKeyId (IdKeyId认证的客户端) • Client Xauth(扩展认证的客户端) • Server Xauth(扩展认证的服务器端) • Rsa Key(RSA认证) • Client XauthV6(V6标准扩展认证的客户端) • Server XauthV6(V6标准扩展认证的服务器端) 推荐用户采用扩展认证作为VPN认证模式,该模式具备良好的安全性,同时配置非常简单。使用时,隧道一端应该作为扩展认证的服务器端,另一端作为扩展认证的客户端 使用客户端扩展认证时,需要输入认证用户名和密码 在隧道策略配置完成后,保存配置信息并关闭配置窗口 采用RSA认证时,需要进一步配置公钥信息和身份鉴别信息。关于RSA认证的更多信息,请参考产品使用手册 23

  24. 更新隧道策略 隧道策略配置完成后,通过系统菜单中的命令“IPSec->Reload Configuration”使隧道策略生效。 在隧道策略更新后,IKE服务执行如下操作: — 如果本地端点配置了需要主动发起IKE协商的隧道策略,则IKE服务立即依据该隧道策略与远程端点进行协商并建立安全关联。 — 如果本地端点配置了被动接受IKE协商请求的隧道策略,则IKE服务将一直等待远程端点发来的协商请求。 24

  25. 认证用户授权 • 打开用户授权窗口 • 为用户创建认证帐户 • 分配虚拟IP 25

  26. 打开用户授权窗口 如果隧道策略中使用了扩展认证方案,在扩展认证的服务器端,管理员还需要对认证用户进行授权。 通过系统菜单中的命令“IPSec->User Administration”打开用户管理窗口。 右栏为用户帐号配置窗口 左栏列出了已建立的用户帐号。带红色X标记的用户帐号为失效状态。 26

  27. 为用户创建认证帐户 在左栏任意位置点击鼠标右键,并在弹出菜单中执行“Create New SA”命令 输入用户名,只允许使用26个字母和减号及下划线,不允许使用空格键 输入密码 输入对隧道策略的描述信息,请不要使用中文 点击“下一步”可以为该用户分配虚拟IP 27

  28. 分配虚拟IP 输入虚拟IP 为远程用户(尤其是不可寻址的移动终端)分配虚拟IP对于实现访问控制和简化路由管理有着重要作用。在使用虚拟IP时需要注意以下几点: 1) 虚拟IP不能是公共IP地址 2) 虚拟IP不能属于本地内部网段 3) 为远程VPN网关分配的虚拟IP应属于该网关所保护的内部网段 完成帐户管理工作后,必须保存配置。 * 用户帐户在建立或修改后立即生效 28

  29. VPN的应用技巧 • 数据加密算法的选择 • 是否要使用IP压缩 • 如何提高VPN的通讯速率? • 并非所有的网络程序都适用于VPN • 虚拟内部IP功能的用途 • 选择合理的隧道更新周期 29

  30. 数据加密算法的选择 数据加密算法的选择直接影响到通讯的安全性和通讯速率,安联防火墙/VPN网关支持以下几种配置方式: 通常情况下,建议用户在配置静态隧道策略时采用AES算法;而在配置动态隧道策略时将算法参数设为“Yes” 30

  31. 是否要使用IP压缩 利用IP压缩技术可以将数据包的长度减小,减少网络中数据的传输总量,提高网络吞吐量;但IP压缩技术同时会占用较多的系统资源,这也会对IPSec处理效率造成负面影响,所以建议用户只有在通讯线路带宽很低的情况下(如:电话拨号线路)才应该使用IP压缩。 31

  32. 如何提高VPN的通讯速率? 作为软件产品,安联防火墙/VPN网关所能提供的VPN通讯速率与硬件平台的处理能力息息相关。为了提高VPN通讯速率,用户应该注意以下几点。 • 使用更快的CPU。 • IPSec处理主要消耗CPU资源,使用更快的CPU将能够有效提高IPSec处理能力 • 超线程(HT)技术对提高IPSec处理能力有重要作用 • 不要在同一硬件平台上运行占用CPU资源过大服务: • 长期占用20%以上CUP资源的服务 • 瞬时占用80%以上CUP资源的服务 在不同的硬件平台上,安联防火墙/VPN网关能够提供4Mbps到80Mbps的ESP通讯吞吐能力,对于大多数企业而言,此处理能力都大于实际的Internet通讯带宽,所以不会造成VPN应用的瓶颈。 32

  33. 并非所有的网络程序都适用于VPN 根据我们的经验,有些基于局域网环境而设计的网络程序并不适用于Internet,也不适用于VPN,这主要是因为这些程序对网络延时要求很高(<10ms),而广域网不可能提供同等的通讯能力。 如果需要在VPN中使用以下程序,建议用户首先测试其在Internet中的使用效果,如果在Internet中的使用效果很差,那么这些程序也不适用于VPN: • 基于NetBios协议的网络应用程序 • 需要与服务器进行实时通讯的瘦客户端应用程序 • 在运行时需要传输大量小数据包(小于100字节的数据包称为小数据包)的应用程序 33

  34. 虚拟内部IP功能的用途 • 实现用户的访问控制: 安联防火墙/VPN网关的防火墙规则同样可以适用于VPN通讯。使用扩展认证和虚拟内部IP功能,管理员能够为接入VPN网关的所有移动用户分配一个固定的IP,并利用防火墙规则制定基于虚拟IP的访问规则,即实现了基于用户的访问控制。 • 解决了路由管理问题: 很多情况下,管理员需要配置特定的路由表以保证VPN通讯能够实现(请参考“VPN网关与防火墙平行放置”中的示例),但由于移动用户所使用的IP是不可知的,也无法针对这些IP配置路由表,所以需要使用虚拟IP功能,为每个移动用户都分配一个固定的IP,从而解决路由管理问题。 虚拟内部IP功能是利用NAT技术实现的。VPN通讯时,只能有一方使用虚拟IP,在通讯的另一方看来,数据包的源地址是虚拟IP,而不是访问发起方的真实的IP,而应答数据包的目标地址也将是虚拟IP。 34

  35. 选择合理的隧道更新周期 VPN通讯双方需要定期更新实时安全关联,这不但有利于通讯的安全性,同时也能够保证隧道始终是畅通的。但隧道更新时,双方需要重新完成身份验证、参数协商等工作,这在另一方面也造成了额外的系统处理和网络开销,合理选择更新周期对于优化VPN通讯非常重要。对于以下场合,建议使用较短的隧道更新周期: • 在进行安全性要求较高的通讯业务时; • 如果VPN通讯链路中有NAT设备;(NAT设备可能随时改变映射地址和端口) 通常情况下,建议使用的隧道更新周期为: ISAKMP-Lifetime = 3600, IPSec-Lifetime = 28800, 隧道更新周期最短不能小于以下时间: ISAKMP-Lifetime = 70, IPSec-Lifetime = 80, 35

  36. VPN监控与日志 • 察看哪些内部主机在与远程主机进行VPN通讯 • 察看当前的VPN隧道状态 • 察看IPSec的工作日志 • 察看IKE服务日志 • 察看用户验证记录 • 日志文件的存放位置 36

  37. 察看哪些内部主机在与远程主机进行VPN通讯 内部主机的IP 已收发的数据量 开始时间 空闲时间 37

  38. 察看当前的VPN隧道状态 对于已建立的隧道,在隧道名称前以蓝灰色图标表示;对于未建立的隧道,在隧道名称前以红色图标表示。需要注意的是,如果本地主机含有动态隧道策略(策略模板),该策略将始终以红色图标表示;同时显示所有利用该模板建立的实时隧道(以蓝灰色图标表示)。 38

  39. 察看IPSec的工作日志 IPSec工作日志对IPSec网络接口、IPSec装载的隧道策略、实时安全关联等信息进行记录。 39

  40. 察看IKE服务日志 IKE服务日志记录了IKE的协商过程。在隧道无法建立时,通过此日志可以快速发现隧道配置或通讯线路中所存在的问题。 40

  41. 察看用户验证记录 在扩展认证的服务器端,可以通过此窗口看到用户的验证记录。 41

  42. 日志文件的存放位置 IPSec功能的全部日志文件存放在软件安装目录下的Logs子目录中,文件格式为文本文件。 扩展认证日志记录 IPSec的运行日志 IKE服务日志 42

  43. 典型的VPN网络方案 • 客户需求及网络结构 • 确定VPN通讯条件 • 在北京总部进行配置 • 在天津办事处进行配置 • 配置上海终端 43

  44. 客户需求及VPN网络结构 • 企业总部位于北京,在天津和上海各有一个办事处 • 北京的局域网目前有20台计算机,通过ADSL接入Internet • 天津办事处有5台计算机,通过小区宽带接入Internet • 上海办事处只有一台计算机,通过ADSL接入Internet • 企业希望办事处的员工都能接入到总部局域网内,并使用内部办公系统进行网络办公 根据企业各地的网络结构和VPN业务需求,我们首先确定对于北京、天津两个局域网,需要分别配置一个VPN网关;对于上海办事处终端,需要安装VPN终端软件。 小区宽带 接入网关 安联防火墙VPN网关 Internet 天津办事处 通过小区宽带接入Intrent 安联防火墙VPN网关 企业总部 采用ADSL接入Internet 上海办事处终端 安装VPN终端软件 44

  45. 确定VPN通讯条件 确定通讯隧道和寻址条件 • 由于应用服务器运行在北京局域网内,所以我们必须提供两条VPN通讯隧道:天津<->北京、上海<->北京 • 天津通过小区宽带接入Internet,肯定是不可寻址的,所以要求北京的VPN网关必须是可寻址的 • 北京通过ADSL接入Internet,有动态的公共IP,为保证VPN网关可寻址,必须使用DDNS(动态域名解析)服务(将动态IP与一个固定的域名相互绑定)。 • 北京的VPN网关使用DDNS服务后,上海的VPN终端即可随时与北京建立VPN通讯 配置局域网网段 • 北京、天津都是局域网,在配置内部网段时必须彼此独立,否则在建立VPN后,两个网络内的主机无法相互访问 • 上海采用ADSL接入Internet,具有动态公共IP,为了日后便于进行VPN访问控制,所以将为该终端分配一个虚拟内部IP 45

  46. 在北京总部进行配置 在一台双网卡Win2k服务器上安装安联防火墙/VPN网关软件,作为防火墙/VPN网关 按照以下方案配置网络地址 向DDNS服务商申请DDNS服务(假设申请的域名为my.ddns.cn),并在VPN网关上安装DDNS客户端软件 在防火墙/VPN网关上启用PPPoE和IPSec VPN服务 配置PPPoE拨号属性 按照以下方案配置隧道策略(仅列出了最重要的配置参数,其它参数可使用缺省设置) 为天津的VPN网关和上海的VPN终端配置验证帐户,同时为上海指定一个虚拟IP:192.168.2.2 46

  47. 在天津办事处进行配置 在一台双网卡Win2k服务器上安装安联防火墙/VPN网关软件,作为防火墙/VPN网关 按照以下方案配置网络地址 在防火墙/VPN网关上启用IPSec VPN服务 按照以下方案配置隧道策略(仅列出了最重要的配置参数,其它参数可使用缺省设置) 47

  48. 配置上海终端 在终端上(Win2k/XP操作系统)安装安联防火墙/VPN网关软件,作为防火墙/VPN网关 在防火墙/VPN网关上启用PPPoE和IPSec VPN服务 配置PPPoE拨号属性 按照以下方案配置隧道策略(仅列出了最重要的配置参数,其它参数可使用缺省设置) 48

  49. 在已有防火墙的网络中实现VPN通讯 • VPN网关与防火墙平行放置 • VPN网关放置在防火墙之后 49

  50. VPN网关与防火墙平行放置 如果企业局域网满足以下条件,可以采用双网关结构分别实现Internet访问和VPN通讯: • 通过一条线路接入Internet,但拥有两个以上的接入IP • 通过两条线路接入Internet,每条线路都有一个接入IP 实现双网关配置的关键是在内部终端所指向的缺省网关上配置正确的静态路由表,以保证对Internet公共资源的访问由防火墙处理,而VPN通讯由VPN网关处理。 为了保证移动用户和分支机构能够与总部建立VPN通讯,需要进行如下配置: 防火墙 内部IP:10.1.1.1 外部IP:61.51.2.10 • 配置总部局域网终端的缺省网关指向防火墙; • 在总部VPN网关上为移动用户分配虚拟IP(属于192.168.1.0网段的IP); • 在总部防火墙上配置静态路由表:将目标地址为192.168.0.0/255.255.0.0网段的通讯数据包将路由给VPN网关处理 VPN终端 虚拟IP:192.168.1.3 Internet VPN网关 内部IP:10.1.1.2 外部IP:61.51.2.11 总部内部网段:10.1.1.0/255.255.255.0 VPN网关 分支内部网段:192.168.0.0/255.255.255.0 50

More Related