至顶网›网络频道 ›SecPath系列:多分部通过DVPN接入总部

SecPath系列:多分部通过DVPN接入总部

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

本文描述的是SecPath系列防火墙的多分部通过DVPN接入总部。DVPN目前仅在secpath专用VPN网关上支持。

作者：51CTO.COM 2007年10月25日

关键字：防火墙 DVPN SecPath H3C

【拓扑图】

【配置环境参数】

如图，采用Loopback地址模拟内网网段，检测实验结果。

【组网需求】

1. 武汉和上海两个分部接入北京总部，所有VPN设备均有公网地址可互通。其中，分部公网地址可以是静态也可以是动态获得。

2. 通过DVPN连接总部和两个分部，并实现分部之间DVPN隧道的自动建立。

【配置结果】

1. 所有隧道接口可以互相ping通。

2. 所有内网（loopback地址）可以互相ping通。

3. 武汉和上海分部之间的隧道为动态建立。

【说明】

DVPN目前仅在secpath专用VPN网关上支持。

【主要配置】


[Secpath1-beijing]	interface GigabitEthernet0/0
	ip address 202.38.1.1 255.255.255.0
	#
	interface Tunnel0	配置DVPN 隧道接口
	ip address 192.168.1.1 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术。 DVPN支持GRE和UDP两种封装，推荐使用UDP封装。
	source GigabitEthernet0/0	指定隧道源端口
	dvpn interface-type server	北京总部需指定为Server工作方式。默认为client方式
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn udp-port 8005	指定本端DVPN采用的端口号
	#
	ip route-static 10.1.2.0 255.255.255.0 192.168.1.2 preference 60	指定去往武汉分部私网的路由注意：不要仅指定为出接口（tunnel 口），否则在多点连接时无法找到下一跳。
	ip route-static 10.1.3.0 255.255.255.0 192.168.1.3 preference 60	指定去往上海分部私网的路由
	#

[Secpath2-wuhan]	interface GigabitEthernet0/0
	ip address 202.38.1.2 255.255.255.0
	#
	interface Tunnel0	配置DVPN 隧道接口
	ip address 192.168.1.2 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术
	source GigabitEthernet0/0	指定隧道源端口
	dvpn server test-server	本端作为DVPN的客户端，指定要连接的DVPN server
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn register-type want	必须配置want参数，要求总部转发其他分部的信息。
	dvpn udp-port 8001	指定本端DVPN采用的端口号
	#
	dvpn class test-server	配置DVPN server的息
	public-ip 202.38.1.1	Server公网地址
	private-ip 192.168.1.1	Server私网地址
	udp-port 8005	Server的DVPN端口号

	ip route-static 10.1.1.0 255.255.255.0 192.168.1.1 preference 60	指定去往北京总部私网的路由
	ip route-static 10.1.3.0 255.255.255.0 192.168.1.3 preference 60	指定去往上海分部私网的路由
	#
[Secpath3-shanghai]		参考武汉节点的配置