 |
如圖。
武漢和上海兩個分部通過NAT接入北京總部,只有北京總部有公網(wǎng)地址。
通過DVPN連接總部和兩個分部。
要求私網(wǎng)網(wǎng)段之間的數(shù)據(jù)流量采用IPSEC隧道加密傳輸。
總部和分部之間要求啟用OSPF,動態(tài)學(xué)習(xí)對端私網(wǎng)的路由。
1. 所有隧道接口可以互相ping通。
2. 所有內(nèi)網(wǎng)(loopback地址)可以互相ping通。
3. 武漢和上海分部之間由于都經(jīng)過了NAT,不能做IPSEC協(xié)商,所以相互之間不直接建立隧道,而是通過總部轉(zhuǎn)發(fā)。
4. 不需要ISP的特別支持。
5. 私網(wǎng)路由動態(tài)建立。
DVPN目前僅在secpath產(chǎn)品上支持。
 |
1. 在本例中,上海和武漢之間由于都經(jīng)過了NAT,所以不能直接建立IPSEC隧道轉(zhuǎn)發(fā),而是需要經(jīng)過總部。所以每個分部只需定義去往總部的加密數(shù)據(jù)流即可。
2. 總部采用模板配置IPSEC,可以自動根據(jù)分部的數(shù)據(jù)流定義自己的加密數(shù)據(jù)流。
3. 以武漢去北京的數(shù)據(jù)為例,分析報文格式如下:
 |
