需求分析分支C和分支Q需要先和总部H完成组网,随后实现分支间互访;这里问题点在于现有环境只能一边使用ipsec vpn(分支Q),一边使用sangforvpn(分支C),这样无法直接通过配置隧道间路由打通;同时现场测试分支之间存在跨运营商丢包问题,无法直接组网互通。
配置思路1、确保分支到总部配置正常,网络打通
2、分支C采用sangfor vpn组网,所以添加隧道间路由,目的ip为分支Q网段,目的指向总部H
3、分支Q采用ipsec vpn组网,所以加密数据流中对端地址添加分支C网段
4、总部ipsec第二阶段配置,出站策略中添加分支C网段
配置细节分支C---总部H
常规sangforvpn配置,配置用户和连接管理即可
分支Q---总部H,第一阶段
总部ipsecvpn第一阶段配置,这里对端分支没有固定ip所以选[对端是动态ip],不勾选[启用主动连接]
分支ipsecvpn第一阶段配置,注意这里零信任需要升级到2.5.10版本才有ipsec vpn的功能,填写总部的固定ip以及预共享密钥
这里要和总部保持一致的IKE版本和连接模式(IKEv1+野蛮模式),两端身份类型和ID也要保持一致,这里选的是[用户字符串],ID自定义即可,其他选项可以保持默认值,也都要确认好两端完全一致
分支Q---总部H,第二阶段
总部ipsecvpn第二阶段配置,这里的出入站策略定义了需要被保护的流量,这里涉及两条流量分别是:分支Q---总部;分支Q---分支C,所以入站策略定义分支Q的内网网段,出站策略定义总部和分支C的内网网段
在vpn连接建立起来后可以看到上面的两条流量
分支ipsecvpn第二阶段配置,本端地址添加分支Q内网网段,对端地址添加总部以及分支C的内网网段,所有配置就完成了
案例总结1、如果三地都用sangforvpn互联,直接用隧道间路由就可以解决分支间互访,ipsecvpn做不了隧道间路由,所以总部得用出站策略来控制
2、配置中所有阶段的协议都要检查是否匹配,否则无法建立连接
3、跨运营商、跨地市网络丢包,在最外层设备抓包测试确认问题后,可以联系运营商进行排查优化
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
