1. 组网说明
由于公司总部分支机构众多,需要通过VPN技术将各个分支机构组成内网,本文以华为AR1220C-S(总部)、AR1220C-S(总部)为例详细介绍基于IPSecVPN 技术的组网过程。本问以分支机构1到总部结构建立IPSec VPN为例,详细描述建立过程。
2. 网络拓扑
图1
3. 建立分支机构到总部机构的连接
3.1. 建立总部ACL列表
在AR中,点击安全->ACL->高级ACL配置进行ACL维护。总部ACL列表包括两个:IPSec ACL和 NAT ACL,IPSec ACL定义从总部访问分支机构的数据包规则。如图2所示
图2
NAT ACL定义NAT映射数据包通过规则:
如图3所示
图3
定义总部到分支机构不通过NAT,允许总部访问公网。注意:顺序不能颠倒。
建立ACL后如图4所示:
图4
切换到IP业务->NAT,将定义的ACL赋予外网访问,如图5所示:
图5
3.2. 建立总部IPsec
在AR中,点击左侧导航列表的VPN->IPSec VPN,在IPSec策略管理中,点击新建,填写总部端IPSec VPN名称ipsec,,点击接口名称后面的按钮,选择公网IP接口,如图6所示:
图6
点击确定按钮,进入IPSec设置,组网模式选择“总部站点”,填写预共享的密码,封装模式选择“隧道模式”,ACL名称选择ipsec,本端身份类型选择IP地址,勾选路由注入,点击确定按钮,如图7所示:
图7
3.3. 建立分支机构ACL列表
在AR中,点击安全->ACL->高级ACL配置进行ACL维护。分支结构ACL列表与总部对等,也包括两个:IPSec ACL和 NAT ACL,IPSec ACL定义从分支访问总部机构的数据包规则。如图8所示
图8
NAT ACL定义NAT映射数据包通过规则:
如图9所示
图9
定义分支到总部机构不通过NAT,允许总部访问公网。注意:顺序不能颠倒。
建立ACL后如图4所示:
图10
切换到IP业务->NAT,将定义的ACL赋予外网访问,如图11所示:
图11
3.4. 建立分支机构IPsec
在AR中,点击左侧导航列表的VPN->IPSec VPN,在IPSec策略管理中,点击新建,填写分支机构端IPSec VPN名称ipsec,,点击接口名称后面的按钮,选择公网IP接口,如图12所示:
图12
点击确定按钮,进入IPSec设置,组网模式选择“分支站点”,及连接编号,对端为总部机构公网IP地址,填写总部机构预共享的密码,封装模式选择“隧道模式”,ACL名称选择ipsec,本端身份类型选择IP地址,勾选路由注入,点击确定按钮,进行IPSec VPN到总部的连接,如图13所示:
图13