当前播报:IPsecVPN怎么配置？IPsecVPN的配置方案

(资料图片)

IPsecVPN配置教程

在项目中遇到一个关于IPsecVPN的问题，这种场景并不是很常见。翻了一下，找到之前做过的测试数据，小编分享一下。也考考大家，看看有没有人能想到更好的解决方案(当然是有替代方案的，可以自行测试一下)。

以下图为例，R1及OR是站点1的设备，OR是站点1的出口路由器;R2是站点2的出口路由器。1.1.1.0/24及2.2.2.0/24分别用于模拟站点1和站点2的内网。R2的FE0/0直接连接Internet公网，使用的IP地址为200.2.2.2/24，其默认网关为200.2.2.1。而站点1则比较特殊，出于节省公网IP地址的目的"，R1与出口路由器OR之间的互连链路采用私有IP地址段(10.1.1.0/24)。OR一个接口与R1对接，另一侧的接口则连接着Internet。

现在站点1也额外申请到一个公网IP地址，200.1.1.1/32。要求在站点1与站点2之间建立IPsecVPN隧道，而且需在R1与R2上完成(可能OR路由器不支持IPSecVPN)。最终的需求是1.1.1.0/24与2.2.2.0/24要能够安全地互访。这里演示的方法是在R1上配置Loopback0接口，把公网地址放在这个接口上，然后R1(使用该公网地址)与R2建立IPsec隧道。这么做的一个好处是，OR没有NAT的压力。当然即使是这个原因，我们演示的场景依然是挺奇葩的，不是么。另一个方案是，OR部署Static NAT，将公网地址200.1.1.1映射到10.1.1.1，然后依然是在R1与R2上部署IPsec VPN，这种场景到是很常见，可自行测试。