本帖最后由 homelander 于 2020-10-9 19:46 编辑
背景:客户网络架构总部与分支都是用的某公司设备作为边界,总部AF、分支AC; 总部有固定IP,可以做webagent; 需求:希望启用DLAN隧道来保证传输加密,互访内网 版本:AF12.0.17,AC8.0.22
+++++总部配置+++++
1、绑定IPSECVPN线路出口 【网络】——【接口、区域】选择对应接口,勾选与IPSECVPN线路匹配,线路可自定义 这一点很多人比较容易忘记哈
2、启用VPN AF里在【网络】——【ipsecvpn】——【DLAN运行状态】点击启用VPN 一般默认情况下DLAN是禁用状态,所以必须启用后才能够去配置后续内容 3、总部配置webagent webagent格式: ①如果是单固定IP的形式,在主WEBAGENT填写IP:4009 ②如果是多线路固定IP的形式,在主WEBAGENT填写IP1#IP2:4009,或者主WEBAGENT填写IP1:4009,B备WEBAGENT填写IP2:4009 ③如果是单IP,拨号情况,申请了WEBAGENT域名,在主WEBAGENT填写申请的WEBAGENT域名 ④如果是多线路,一个固定IP一个ADSL拨号环境,ADSL申请了webagent域名,webagent域名要单独填一行,如主webagent填写Ip:4009,备webagent填写域名
AF里在【网络】——【ipsecvpn】——【基本设置】配置webagent,格式如上,填好后可以点击测试检查是否有效 共享密钥可以不用默认的,自己设置,到时候在分支那里也要填写对应的共享密钥 完成后点击确定
4、添加vpn用户 AF里在【网络】——【IPSECVPN】——【用户管理】中配置 新增用户,输入用户名、密码(之后在分部的连接管理里填写对应内容) 内网权限默认全开,可以根据需求进行修改
5、选择内网接口 AF里在【网络】——【IPSECVPN】——【vpn接口设置】中配置 这一步是一个略为容易被忘记的步骤,很多同事会完成前面的以后发现vpn建立了,但是内网不通,有可能就是这一步忘记或者配错导致的 这里选择好对应接入vpn内网的接口后,就无需在本地子网再宣告一遍设备的内网接口了 至此基本的总部配置就已经完成
=====分部配置=====
1、确保条件合理
对端总部IP可达
对端总部4009端口可达
2、启用VPN
启用方式与上边相同【VPN配置】——【dlan运行状态】启用即可
3、连接管理配置
AC在【vpn配置】——【连接管理】填写共享密钥、用户名、密码
4、VPN内网接口配置
在【vpn配置】---【高级设置】--【vpn接口设置】
方法与上文相同,选择对应内网LAN口加入即可,可选择是否修改vpn接口地址
5、本地子网
如果内网有不同于设备lan口的网段需要通过vpn访问,则还需要配置本地子网掩码,路径在【vpn配置】---【本地子网掩码】以发布vpn路由
至此分部基本配置也已完成,可以在DLAN运行状态查看连接情况,并且进行通信测试 也可以在系统日志里面查看具体连接过程 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-10-22 22:47
技术员2级 
