1. 組網(wǎng)說明

由于公司總部分支機(jī)構(gòu)眾多，需要通過VPN技術(shù)將各個(gè)分支機(jī)構(gòu)組成內(nèi)網(wǎng)，本文以華為AR1220C-S（總部）、AR1220C-S（總部）為例詳細(xì)介紹基于IPSecVPN 技術(shù)的組網(wǎng)過程。本問以分支機(jī)構(gòu)1到總部結(jié)構(gòu)建立IPSec VPN為例，詳細(xì)描述建立過程。

2. 網(wǎng)絡(luò)拓?fù)?/p>

3. 建立分支機(jī)構(gòu)到總部機(jī)構(gòu)的連接

3.1. 建立總部ACL列表

在AR中，點(diǎn)擊安全->ACL->高級ACL配置進(jìn)行ACL維護(hù)?？偛緼CL列表包括兩個(gè)：IPSec ACL和 NAT ACL，IPSec ACL定義從總部訪問分支機(jī)構(gòu)的數(shù)據(jù)包規(guī)則。如圖2所示

NAT ACL定義NAT映射數(shù)據(jù)包通過規(guī)則：

如圖3所示

定義總部到分支機(jī)構(gòu)不通過NAT，允許總部訪問公網(wǎng)。注意：順序不能顛倒。

建立ACL后如圖4所示：

切換到IP業(yè)務(wù)->NAT,將定義的ACL賦予外網(wǎng)訪問，如圖5所示：

3.2. 建立總部IPsec

在AR中，點(diǎn)擊左側(cè)導(dǎo)航列表的VPN->IPSec VPN，在IPSec策略管理中，點(diǎn)擊新建，填寫總部端IPSec VPN名稱ipsec，，點(diǎn)擊接口名稱后面的按鈕，選擇公網(wǎng)IP接口，如圖6所示：

點(diǎn)擊確定按鈕，進(jìn)入IPSec設(shè)置，組網(wǎng)模式選擇“總部站點(diǎn)”，填寫預(yù)共享的密碼，封裝模式選擇“隧道模式”，ACL名稱選擇ipsec，本端身份類型選擇IP地址，勾選路由注入，點(diǎn)擊確定按鈕，如圖7所示：

3.3. 建立分支機(jī)構(gòu)ACL列表

在AR中，點(diǎn)擊安全->ACL->高級ACL配置進(jìn)行ACL維護(hù)。分支結(jié)構(gòu)ACL列表與總部對等，也包括兩個(gè)：IPSec ACL和 NAT ACL，IPSec ACL定義從分支訪問總部機(jī)構(gòu)的數(shù)據(jù)包規(guī)則。如圖8所示

NAT ACL定義NAT映射數(shù)據(jù)包通過規(guī)則：

如圖9所示

定義分支到總部機(jī)構(gòu)不通過NAT，允許總部訪問公網(wǎng)。注意：順序不能顛倒。

建立ACL后如圖4所示：

切換到IP業(yè)務(wù)->NAT,將定義的ACL賦予外網(wǎng)訪問，如圖11所示：

3.4. 建立分支機(jī)構(gòu)IPsec

在AR中，點(diǎn)擊左側(cè)導(dǎo)航列表的VPN->IPSec VPN，在IPSec策略管理中，點(diǎn)擊新建，填寫分支機(jī)構(gòu)端IPSec VPN名稱ipsec，，點(diǎn)擊接口名稱后面的按鈕，選擇公網(wǎng)IP接口，如圖12所示：

點(diǎn)擊確定按鈕，進(jìn)入IPSec設(shè)置，組網(wǎng)模式選擇“分支站點(diǎn)”，及連接編號，對端為總部機(jī)構(gòu)公網(wǎng)IP地址，填寫總部機(jī)構(gòu)預(yù)共享的密碼，封裝模式選擇“隧道模式”，ACL名稱選擇ipsec，本端身份類型選擇IP地址，勾選路由注入，點(diǎn)擊確定按鈕，進(jìn)行IPSec VPN到總部的連接，如圖13所示：