ipsec vpn通过总部实现分支之间互访案例

本文核心思想：

众所周知在sangfor vpn中，有隧道间路由功能可以用于实现分支间互访需求，但是在三方厂商互联场景只能使用标准ipsec vpn，本文意在介绍多个分支分别和总部建立ipsec vpn后，分支之间网络互访的配置思路

以下图举例，分支A和B的路由器分别和总部的防火墙建立ipsec vpn，需要在此基础实现分支A和B业务网段的互访，实现该需求有两个方案，一个是基于感兴趣流实现，一个是基于gre over ipsec方案实现   

方案一：基于感兴趣流实现

实现思路为：总部和两个分支分别建立ipsec vpn隧道，在两条vpn隧道的感兴趣流分别写上另一个分支的私网网段即可

配置示例为：

总部-分支A隧道感兴趣流配置：把分支B的网段加到此隧道中

总部：  源=10.0.0.0/24；10.0.2.0/24        目的：10.0.1.0/24

分支A：源=10.0.1.0/24                           目的：10.0.0.0/24；10.0.2.0/24

总部-分支B隧道感兴趣流配置：把分支A的网段加到此隧道中

总部：  源=10.0.0.0/24；10.0.1.0/24        目的：10.0.2.0/24

分支B：源=10.0.2.0/24                           目的：10.0.0.0/24；10.0.1.0/24

配置后即可实现分支互访（注意ACL放通）

访问流程说明：

以分支A的10.0.1.1访问分支B的10.0.2.1举例，报文在分支A路由器发出时，根据感兴趣流配置，报文进入隧道发送到总部，总部AF根据默认路由将报文从WAN口发出，发出时匹配到分支B的感兴趣流，进入分支B的隧道，然后到达分支B，回包也一样，根据感兴趣流匹配将业务报文进行vpn封装转发经由总部到达分支A

方案二：使用gre over ipsec实现

实现思路为：总部和分支分别使用gre over ipsec建立隧道，然后使用静态或动态路由在gre口打通分支之间的网段路由即可，此方案的难点在于隧道嵌套的复杂度

感谢楼主分享，努力学习中！！！！

感谢楼主分享，努力学习中！！！

感谢分享，有助于工作和学习

每天坚持打卡学习签到！！

感谢楼主分享，努力学习中！

感谢分享，有助于工作和学习

感谢分享，有助于工资和学习！

感谢分享，有助于工作和学习

一起来学习，一起来学习