• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

ER3200G2路由器IPSEC VPN连接

2018-05-26提问
  • 0关注
  • 1收藏,5601浏览
粉丝:0人 关注:0人

问题描述:

我公司和两个分公司之间各买了一台ER3200G2路由器通过IPSEC VPN连接,分公司和总公司都可以正常连接,但分公司之间不能正常访问,请问要如何设置,如总公司IP:192.168.1.0,     深圳分公司IP:192.168.2.0  广州分公司IP:192.100.200.0   深圳分公司要通过VPN访问广州分公司。  

最佳答案

粉丝:6人 关注:1人

1、在Hub & Spoke VPN组网方案中,ERG2路由器充当分支Spoke,也作为中心中心Hub使用。

2、Spoke和Hub之间建立IPsec VPN实现互通,并且不同Spoke之间的子网也要求互通。

3、在隧道的访问控制表定义上可以尽可能放宽,使用any地址(0.0.0.0)方式配置可以确保网络中增加Spoke时隧道配置不需要变动。然后通过将其他Spoke子网的路由指向隧道的IPSec虚接口,本子网可以通过一条隧道访问其他Spoke的子网。中心Hub上只需要为各个Spoke的子网配置对应隧道虚接口的路由,就能完成各个隧道之间报文的转发。

4、各个Spoke使用动态上网方式,中心Hub上可以配置any地址的对等体来处理。当组网有变化时,配置的修改也简化了,只需要针对性地增加或减少的Spoke子网,增加或减少对应的路由即可。

 

组网图

在图中的Hub&Spoke组网中,中心节点Hub和分支节点Spoke均为ERG2路由器,Hub的公网IP为静态IP地址192.100.100.19,内网IP为172.16.1.0/24;各个Spoke公网IP均为动态获取,内网地址分别为192.168.1.0/24,192.168.2.0/24,192.168.3.0/24。

 

配置步骤

1. 设置Spoke(以内网192.168.1.0/24分支为例)

(1)设置虚接口

WEB页面:VPN→IPSEC VPN→虚接口

选择一个虚接口名称和与其相应的WAN口绑定,单击<增加>按钮。

(2)设置IKE安全提议

WEB页面:VPN→IPSEC VPN→IKE安全提议

输入安全提议名称,并设置验证算法和加密算法分别为MD5、3DES,IKE DH组选择“DH2 modp 1024”,单击<增加>按钮。

(3)设置IKE对等体

VPN→IPSEC VPN→IKE对等体

输入对等体名称为ike-Hub,虚接口选择ipsec0,对端地址填写Hub的公网地址192.100.100.19,协商模式选择主模式(如果需要穿越NAT设备,需要采用野蛮模式),然后选择好安全提议,配置预共享密钥,其余默认配置即可。

 

(4) 设置IPSec安全提议

VPN→IPSEC VPNIPSec安全提议

输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮。

(5)设置IPSec安全策略

VPN→IPSEC VPNIPSec安全策略

勾选“启用IPsec功能”,然后点击“新增”按钮创建IPsec安全策略

Spoke的安全策略配置如下,设置安全策略名称,是否启用勾选“启用”,本地IP子网设置192.168.1.0,对端子网设置全0,协商类型选择IKE协商,对等体和安全提议选择之前配置好的即可。其余默认配置。

(6)设置路由

高级设置→路由设置→静态路由

在Spoke上,分别为VPN对端子网配置指向IPSec虚接口静态路由,本案例中IPsec虚接口为ipsec0

 

2. 设置Hub

在Hub路由器上的配置和在Spoke上的配置基本类似(虚接口、IKE和IPSec全提议的设置均一样,差别在于对等体和安全策略的配置),设置如下:

(1) 设置对等体

WEB页面:VPNIPSEC VPNIKE对等体

设置对等体名称,虚接口选择ipsec0,对端地址填写0.0.0.0,协商模式选择主模式(如果需要穿越NAT设备,选择野蛮模式),选择好配置的安全提议,预共享密钥设置123456,其余默认配置即可

(2) 设置安全策略

WEB页面:VPNIPSEC VPNIPsec安全策略

在Hub路由器上为每个连接Spoke的VPN隧道配置安全策略。本地子网和对端子网都使用宽范围的any地址(0.0.0.0/0),其他的配置与Spoke对应。

Hub上的配置如同一个模板,只用一条安全策略就能够匹配多个Spoke的VPN隧道配置,协商建立针对不同子网的安全联盟SA。

(3)设置路由

WEB页面:高级设置路由设置静态路由

分别为不同的Spoke子网指定IPSec虚接口静态路由,这样Spoke可以与Hub建立VPN通信,不同Spoke的子网之间也可以通过VPN由Hub进行转发实现互相通信。当网络拓扑和地址规划有变动时,只用修改路由就很方便完成了配置调整。如果子网的IP规划有序,此处可以直接使用192.168.0.0/255.255.0.0的一条路由即可满足配置。



暂无评论

0 个回答

该问题暂时没有网友解答

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明