13
2017
06

一次典型的IPSec VPN组网方案。

WFilter NGF的IPSec VPN模块,可以很方便的在企业总部和分支机构之间创建VPN局域网,利用现有的互联网出口,虚拟出一条“专线”,将组织的分支机构和总部连接起来,组成一个大的局域网。网络拓扑图如下:

201706131497345144120034.png

IPSec隧道建立成功后,总部以及各分支的内网之间就可以直接互相访问。下面是具体的配置步骤:

假设有3个子网:

  • A为总部,公网静态IP地址,内网网段是192.168.10.0/24。

  • B为分支机构,动态公网IP,内网网段是192.168.30.0/24。

  • C为分支机构,动态公网IP,内网网段是172.16.1.0/24。

下面我们将以此为例,来演示如何使A、B、C之间互联互通。

4.1 总部A的配置

  • 创建IPSec隧道

Ipsec center01.png

Ipsec center02.png

  • 允许分支之间互访

不添加此项配置,不影响分支访问总部,只是分支之间不能互访。Ipsec center03.png

4.2 分支B的配置

  • 创建IPSec隧道

Ipsec client01.png

  • 添加到分支C的路由表

目标网段填分支C的子网,下一跳地址填写总部A的公网IP。不添加路由表并不影响到总部A的访问,添加路由表就可以访问分支C的网络。Ipsec client02.png

4.3 分支C的配置

  • 创建IPSec隧道

Ipsec client03.png

  • 添加到分支B的路由表

目标网段填分支B的子网,下一跳地址填写总部A的公网IP。不添加路由表并不影响到总部A的访问,添加路由表就可以访问分支B的网络。Ipsec client04.png

经过上述步骤,即可使A、B、C之间互联互通。如果B、C之间不需要互通,则无需添加路由表和总部的防火墙规则。

更多详细信息,请参考:IPSec隧道



« 上一篇 下一篇 »