使用TMG 2010建立IPSec ×××

1．概述

1.1. 前言

在跨地域的网络环境之间，建立无需拨号连接的×××连接。在没有点对点专线、硬件×××设备等条件下，是否可以使用软件来实现？

本文将详解如何使用Forefront TMG 2010建立Site-to-Site IPsec ×××。

1.2. 网络拓扑

拓扑说明

A站：

? 局域网内有1个子网10.2.4.0/24

? 双Internet出口，网络访问默认出口为路由器，与站点B的通信则经过TMG

? 使用TMG作为Site-to-Site ×××设备，TMG工作模式为边缘防火墙

B站：

? 局域网内有2个子网，分别为192.168.10.0/24和172.17.0.0/16

? 单Internet出口，所有网络流量均由TMG处理

? 使用TMG作为Site-to-Site ×××设备，TMG工作模式为边缘防火墙

2. ×××配置

2.1. 软件更新

在A站和B站分别安装Forefront TMG2010，并更新至SP2

? TMG 2010不带补丁的版本号为7.0. 8108

? 补丁升级必须从低到高，且不能跳过低版本补丁

2.2. A站配置

在网络连接中，配置TMG网络

检查网络连接中的内部网络地址，并确保TMG可以访问

由于TMG为双网卡边缘防火墙模式，LAN网卡是不设备网关的，所以需要手动创建到10.2.4.0/24的路由

可以使用route add命令创建路由，也可以使用TMG的路由功能创建网络拓扑路由

命令行：

route add –p 10.2.4.0 mask 255.255.255.0 10.2.3.2

10.2.3.2为路由下一跳地址

在远程访问策略（×××）中，创建×××点对点连接

填写×××网络名称

选择×××协议为IPsec

连接设置，填写远程（B站）和本地（A站）的×××网关地址（即用来做×××的公网地址）

选择身份验证方法，可以选择由同一CA发布的证书，也可以使用预共享（PSK）密钥加密

添加需要访问到对端（B站）的内部地址范围，此处会默认添加对端×××网关地址

点对点网络规则页面，直接下一步

点对点网络访问规则页面，选择所有出站通讯

完成配置，并应用生效

2.3. B站配置

创建点对点×××，输入×××网络名称，同样选择×××协议为IPsec。

连接设置页面，与A站配置相反，填写远程（A站）和本地（B站）的×××网关地址

IPsec身份验证必须与A站的配置完全相同

添加对端（A站）内部地址范围

网络访问规则与A站配置相同，选择所有出站通讯。完成并应用配置

3. 验证

3.1. 查看×××会话状态

在A站TMG上查看

在B站TMG上查看

A站主机通过×××访问B站网络共享

 

这样，Site-to-Site IPsec ×××就配置成功了。

关于本案例中提到的A站双Internet出口问题，请参考【Cisco策略路由配置】