本帖最后由 泽一信息张惠 于 2021-3-11 15:00 编辑
总部配置: VPN配置: 在某公司VPN设备上选择:第一阶段,相关配置如下: 注意:本端的配置与对端的配置一定要一样,否则会对接不成功。 第二阶段配置: 入站策略:为对端(分部)需要进入本端(总部)的网段,配置如下: 出站策略:出站IP为本端(总部)哪个网段需要访问对端(分部)的哪个网段,配置如下: 总部核心配置: 因为分部的网段访问总部网段时,核心没有相关路由,需进行添加静态路由,路由配置为: 分部网段-》下一跳指向VPN的IP即: 192.120.1.0 255.255.255.0192.168.7.2
至此分部已配置完成。
分部华为路由器配置:
在华为路由器界面的安全->ACL选项里添加高级ACL配置,如下: 填写本端网段(分部)与目地地网段(总部)
对Ipsec进行配置,配置如下(注意,本端配置一定要与总部配置所有参数保持一致): ACL名称选取刚才配置的规则: 注意:在选择协商模式的时候两端一定要选择“野蛮模式”
以上配置完成后效果为:对端可以访问本端,本端也能访问对端。 注:如分部不能访问总部(IPsec对接的设备为路由部署的情况下),可能情况为由于分部访问总部时,由于路由器设置了NAT地址转换策略,故分部数据经过路由器时IP被转换为路由器的公网IP。这时需对路由器进行配置。ACL规则 配置思路如下: 先应拒绝192.120.1.0的网段去访问192.168.0.0的网段。强制让他走VPN隧道,然后再配置允许内网电脑访问其它网段(即互联网)。其中配置如下:
在华为路由器:安全->ACL->高级ACL,新建一条策略并配置两条规则 ,一条允许,一条拒绝,如下: 其中编号为10的规则不需填写目地IP与源IP,默认即可。动作为允许。
新建完成后,在IP业务->NAT内选择外网访问的ACL名称为刚才新建的ACL规则,如下: |