VPN另类组网，解核心交换路由之疏

一、需求简述：

如图：

分支通过VPN访问总部，总部无需反向访问分支。分支数目比较多，不想每增加一个分支就得在核心交换机做一次路由

指向。
二、配置思路

总部配置：

1.总部SSL VPN单臂模式部署，配置好本地子网、去服务器网段路由（单臂部署默认路由指向核心、或者VPN跟服务器同网段此步骤也可以省略路由）；

2.核心交换机做路由指向，此案例只需分配一个网路即可（一个24位掩码网段可以分配254个地址给分支使用，按需每个分支给分配一个地址，后续就无需在核心交换机即可）；

华为华三静态路由示例：ip route-static 10.10.10.0 255.255.255.0 192.168.2.254 【VPNLAN接口地址】

思科静态路由示例：ip route 10.10.10.0 255.255.255.0 192.168.2.254【VPNLAN接口地址】

3.新建VPN连接用户；WEBAGENT

4.出口防火墙做端口映射，映射VPN接口地址。

分支配置：

1.按分支需求配置网关模式；

2.新建VPN连接管理；

3.新增二条NAT；一条 NAT代理内网上网，一条 NAT代理代理内网网段访问VPN数据；

4.添加VPN NAT后的地址为本地子网。

至此配置完毕。

感谢楼主的分享 收藏下来 好好研究下

图太丑了

详细，谢谢分享。

没看明白，怎么每个分支一个IP。

感谢分享，有心了！！！

做了一次隧道nat 机智~

看完这种VPN组网方式，能通过VPN搭建多种实际网络环境解决客户实际问题。