當今企業的發展越來越快,如何解決集團公司與子公司之間的VPN(VPN的英文全稱是“Virtual Private Network”,即“虛擬專用網絡”。可以把它理解成虛擬的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路。 )網絡對接,這邊肯定人說直接購買運營商的VPN線路不就行了。那麼問題來了,如果租用運營商的VPN線路是一筆不小的開支,一條VPN線路每月的費用少則幾百塊,多則幾千塊。表面上沒有多少,實際上每年也是不小的費用。
下面我就以H3C ERG2 系列路由器為例:如何通過IPSEC VPN (指採用IPSec協議來實現遠程接入的一種VPN技術,IPSec全稱為Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定義的安全標準框架,用以提供公用和專用網絡的端對端加密和驗證服務。)實現企業子公司與集團公司的互聯網對接(兩端為固定IP地址)
Router A和Router B均使用ERG2 路由器,在兩者之間建立一個安全隧道,對客戶分支機構A所在的子網(192.168.1.0/24)與客戶分支機構B所在的子網(172.16.1.0/24)之間的數據流進行安全保護,實現2端子網終端通過IPsec VPN 隧道進行互訪。
1 組網圖
2 配置步驟
2.1 配置IPSEC VPN
2.1.1 配置IPSEC 虛接口
單擊【VPN】--【VPN設置】--【虛接口】,點擊【新增】,綁定對應的WAN口,比如WAN1:
2.1.2 配置IKE安全提議
單擊【VPN】--【VPN設置】--【IKE安全提議】,點擊【新增】,配置IKE安全提議的各個參數:安全提議名稱、IKE驗證算法、IKE加密算法、IKE DH組,如下圖配置。
2.1.3配置IKE對等體
單擊【VPN】--【VPN設置】--【IKE對等體】,點擊【新增】,配置IKE對等體:
對等體名稱為ike、綁定虛接口為ipsec0(前面已經創建)、對端地址為Router B的公網ip,即192.100.100.19、協商模式選擇主模式、安全提議選擇ike(前面已經創建)、配置預共享秘鑰,此處配置為123456(可根據自己需求自行設置)、其餘選擇默認即可。
2.1.4配置IPSEC安全提議
單擊【VPN】--【VPN設置】--【IPSec安全提議】,點擊【新增】,配置IPSEC安全提議:安全提議名稱、安全協議類型、ESP驗證算法、ESP加密算法配置如下圖:
2.1.5配置IPSEC安全策略
單擊【VPN】--【VPN設置】--【IPSEC安全策略】,勾選啟【用IPSEC功能】,點擊【新增】,配置IPSEC安全策略:本地子網IP即為Router A內網網段,此處配置為192.168.1.0/24,對端子網IP即為Router B內網網段,此處配置為172.16.1.0/24,其餘參數按照下圖所示配置:
2.2配置去往對端子網的靜態路由
單擊【高級設置】--【路由設置】--【靜態路由】,目的地址配置成對端子網,即172.16.1.0,子網掩碼為255.255.255.0,出接口為ipsec0虛接口。
2.3Router B配置
在Router B上,IPSec VPN的相關配置與Router A是相互對應的,Router B上除了IKE對等體的對端地址以及IPSEC安全策略中的本地子網、對端子網需要做相應修改外,其他的設置均一致,Router B的具體配置參見Router A配置,此處不再贅述。
注意:修改了IPSEC相關參數,需要將啟用IPsec功能勾去掉應用再重新勾上應用使能,否則IPsecVPN無法起來。
3 保存配置
設備默認會保存配置。
閱讀更多 種花家的老兔子 的文章
