华为路由器组网管理华为AR1220路由器IPSec VPN组网说明

1. 组网说明

由于公司总部分支机构众多,需要通过VPN技术将各个分支机构组成内网,本文以华为AR1220C-S(总部)、AR1220C-S(总部)为例详细介绍基于IPSecVPN 技术的组网过程。本问以分支机构1到总部结构建立IPSec VPN为例,详细描述建立过程。

2. 网络拓扑

图1

3. 建立分支机构到总部机构的连接

3.1. 建立总部ACL列表

在AR中,点击安全->ACL->高级ACL配置进行ACL维护。总部ACL列表包括两个:IPSec ACL和 NAT ACL,IPSec ACL定义从总部访问分支机构的数据包规则。如图2所示

图2

NAT ACL定义NAT映射数据包通过规则:

如图3所示

图3

定义总部到分支机构不通过NAT,允许总部访问公网。注意:顺序不能颠倒。

建立ACL后如图4所示:

图4

切换到IP业务->NAT,将定义的ACL赋予外网访问,如图5所示:

图5

3.2. 建立总部IPsec

在AR中,点击左侧导航列表的VPN->IPSec VPN,在IPSec策略管理中,点击新建,填写总部端IPSec VPN名称ipsec,,点击接口名称后面的按钮,选择公网IP接口,如图6所示:

图6

点击确定按钮,进入IPSec设置,组网模式选择“总部站点”,填写预共享的密码,封装模式选择“隧道模式”,ACL名称选择ipsec,本端身份类型选择IP地址,勾选路由注入,点击确定按钮,如图7所示:

图7

3.3. 建立分支机构ACL列表

在AR中,点击安全->ACL->高级ACL配置进行ACL维护。分支结构ACL列表与总部对等,也包括两个:IPSec ACL和 NAT ACL,IPSec ACL定义从分支访问总部机构的数据包规则。如图8所示

图8

NAT ACL定义NAT映射数据包通过规则:

如图9所示

图9

定义分支到总部机构不通过NAT,允许总部访问公网。注意:顺序不能颠倒。

建立ACL后如图4所示:

图10

切换到IP业务->NAT,将定义的ACL赋予外网访问,如图11所示:

图11

3.4. 建立分支机构IPsec

在AR中,点击左侧导航列表的VPN->IPSec VPN,在IPSec策略管理中,点击新建,填写分支机构端IPSec VPN名称ipsec,,点击接口名称后面的按钮,选择公网IP接口,如图12所示:

图12

点击确定按钮,进入IPSec设置,组网模式选择“分支站点”,及连接编号,对端为总部机构公网IP地址,填写总部机构预共享的密码,封装模式选择“隧道模式”,ACL名称选择ipsec,本端身份类型选择IP地址,勾选路由注入,点击确定按钮,进行IPSec VPN到总部的连接,如图13所示:

图13

Published by

风君子

独自遨游何稽首 揭天掀地慰生平