ER3200G2路由器IPSEC VPN连接

1、在Hub & Spoke VPN组网方案中，ERG2路由器既充当分支Spoke，也作为中心中心Hub使用。

2、Spoke和Hub之间建立IPsec VPN实现互通，并且不同Spoke之间的子网也要求互通。

3、在隧道的访问控制表定义上可以尽可能放宽，使用any地址（0.0.0.0）方式配置可以确保网络中增加Spoke时隧道配置不需要变动。然后通过将其他Spoke子网的路由指向隧道的IPSec虚接口，本子网可以通过一条隧道访问其他Spoke的子网。中心Hub上只需要为各个Spoke的子网配置对应隧道虚接口的路由，就能完成各个隧道之间报文的转发。

4、各个Spoke使用动态上网方式，中心Hub上可以配置any地址的对等体来处理。当组网有变化时，配置的修改也简化了，只需要针对性地增加或减少的Spoke子网，增加或减少对应的路由即可。

组网图

在图中的Hub&Spoke组网中，中心节点Hub和分支节点Spoke均为ERG2路由器，Hub的公网IP为静态IP地址192.100.100.19，内网IP为172.16.1.0/24；各个Spoke公网IP均为动态获取，内网地址分别为192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。

配置步骤

1. 设置Spoke（以内网192.168.1.0/24分支为例）

(1)设置虚接口

WEB页面：VPN→IPSEC VPN→虚接口

选择一个虚接口名称和与其相应的WAN口绑定，单击<增加>按钮。

(2)设置IKE安全提议

WEB页面：VPN→IPSEC VPN→IKE安全提议

输入安全提议名称，并设置验证算法和加密算法分别为MD5、3DES，IKE DH组选择“DH2 modp 1024”，单击<增加>按钮。

(3)设置IKE对等体

VPN→IPSEC VPN→IKE对等体

输入对等体名称为ike-Hub，虚接口选择ipsec0，对端地址填写Hub的公网地址192.100.100.19，协商模式选择主模式（如果需要穿越NAT设备，需要采用野蛮模式），然后选择好安全提议，配置预共享密钥，其余默认配置即可。

(4) 设置IPSec安全提议

VPN→IPSEC VPN→IPSec安全提议

输入安全提议名称，选择安全协议类型为ESP，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(5)设置IPSec安全策略

VPN→IPSEC VPN→IPSec安全策略

勾选“启用IPsec功能”，然后点击“新增”按钮创建IPsec安全策略

Spoke的安全策略配置如下，设置安全策略名称，是否启用勾选“启用”，本地IP子网设置192.168.1.0，对端子网设置全0，协商类型选择IKE协商，对等体和安全提议选择之前配置好的即可。其余默认配置。

(6)设置路由

高级设置→路由设置→静态路由

在Spoke上，分别为VPN对端子网配置指向IPSec虚接口静态路由，本案例中IPsec虚接口为ipsec0

2. 设置Hub

在Hub路由器上的配置和在Spoke上的配置基本类似（虚接口、IKE和IPSec安全提议的设置均一样，差别在于对等体和安全策略的配置），设置如下：

（1） 设置对等体

WEB页面：VPN→IPSEC VPN→IKE对等体

设置对等体名称，虚接口选择ipsec0，对端地址填写0.0.0.0，协商模式选择主模式（如果需要穿越NAT设备，选择野蛮模式），选择好配置的安全提议，预共享密钥设置123456，其余默认配置即可

(2) 设置安全策略

WEB页面：VPN→IPSEC VPN→IPsec安全策略

在Hub路由器上为每个连接Spoke的VPN隧道配置安全策略。本地子网和对端子网都使用宽范围的any地址（0.0.0.0/0），其他的配置与Spoke对应。

Hub上的配置如同一个模板，只用一条安全策略就能够匹配多个Spoke的VPN隧道配置，协商建立针对不同子网的安全联盟SA。

(3)设置路由

WEB页面：高级设置→路由设置→静态路由

分别为不同的Spoke子网指定IPSec虚接口静态路由，这样Spoke可以与Hub建立VPN通信，不同Spoke的子网之间也可以通过VPN由Hub进行转发实现互相通信。当网络拓扑和地址规划有变动时，只用修改路由就很方便完成了配置调整。如果子网的IP规划有序，此处可以直接使用192.168.0.0/255.255.0.0的一条路由即可满足配置。