闲来无事测试了一下Site to Site IPSec VPN分支互联的效果。
发现一般情况下,多分支的时候需要每个分支两两建立隧道,这样如果有4个地方需要互联的情况下,要实现所有分支互通,就需要建立6条隧道,而且随着分支的增加,会越来越多,并且每多一个分支,需要修改所有设备。
基本思路是,以总部为中心,每个分支连到总部,所有分支之间的互联通过总部来进行,在新增分支的情况下,只需要总部与新的分支建立通道,其他分支即可与之通信。虽然这个方案存在一个致命缺点,总部负荷过大,但由于部署方便,在一些分支机构之间流量不大的情况下也可以考虑采用。
工具:
1、虚拟机软件
3、Pfsense防火墙4台
2、虚拟PC(可选)
实施步骤。
IP划分:
分支1:
WAN:192.168.0.241/24
Gateway:192.168.0.1
LAN:172.16.241.1/24
分支2:
WAN:192.168.0.242/24
Gateway:192.168.0.1
LAN:172.16.242.1/24
分支3:
WAN:192.168.0.243/24
Gateway:192.168.0.1
LAN:172.16.243.1/24
总部:
WAN:192.168.0.245/24
Gateway:192.168.0.1
LAN:172.16.245.1/24
VPN通道
分支1<==>总部隧道
| Local IP | Remote IP | Local Network | Remote Network |
|---|---|---|---|
| 192.168.0.241 | 192.168.0.245 | LAN | 172.16.0.0/16 |
分支2<==>总部隧道
| Local IP | Remote IP | Local Network | Remote Network |
|---|---|---|---|
| 192.168.0.242 | 192.168.0.245 | LAN | 172.16.0.0/16 |
分支3<==>总部隧道
| Local IP | Remote IP | Local Network | Remote Network |
|---|---|---|---|
| 192.168.0.243 | 192.168.0.245 | LAN | 172.16.0.0/16 |
总部隧道
| Local IP | Remote IP | Local Network | Remote Network | Description | Status |
| 192.168.0.245 | 192.168.0.241 | 172.16.0.0/16 | 172.16.241.0/24 | ||
| 192.168.0.245 | 192.168.0.242 | 172.16.0.0/16 | 172.16.242.0/24 | ||
| 192.168.0.245 | 192.168.0.243 | 172.16.0.0/16 | 172.16.243.0/24 |
这样只需要3条隧道,即可实现3个分支到总部的访问,并且3个分支之间可互访。如果有新的分支需要加入,只需要将总部与新的分支建立隧道即可。方案重点是在隧道中设置的总部子网,其中奥秘自行体会。
最终拓扑图:
原文链接:IPSec VPN 实现星型网络,多分支互联,转载请注明来源!