兩個辦公室的獨立網絡怎樣組成一個局域網？

發布時間：2018-12-21????閱讀：111

很多公司會存在有幾個辦公場所的情況，而這兩個辦公場所肯定有各自獨立寬帶網絡與局域網環境，實際工作中可能需要兩地訪問某項服務，除了端口映射其實我們還能利用企業級路由器的IPSEC VPN功能，來實現兩個獨立網絡下的局域網互連。
中小型企業常用路由器H3C ER系列路由器：

一：組網圖：

二配置步驟：

如果兩邊路由器都是動態IP地址可以使用野蠻模式建立IPSEC VPN。
R1 設置：
1）設置虛接口：
VPN→VPN設置→虛接口
選擇一個虛接口名稱和與其相應的WAN1口綁定，單擊<增加>按鈕。

(2)設置IKE安全提議
VPN→VPN設置→IKE安全提議
輸入安全提議名稱，并設置驗證算法和加密算法分別為MD5、3DES，單擊<增加>按鈕。

(3) 設置IKE對等體
VPN→VPN設置→IKE對等體
輸入對等體名稱，選擇對應的虛接口ipsec0。在“對端地址”文本框中輸入Router B的IP地址如通過DDNS域名解析服務的地址，選擇野蠻模式的NAME類型，分別填寫兩端的ID。

(4) 設置IPSec安全提議
VPN→VPN設置→IPSec安全提議
輸入安全提議名稱，選擇安全協議類型為ESP，并設置驗證算法和加密算法分別為MD5、3DES，單擊<增加>按鈕。

(5)設置IPSec安全策略
VPN→VPN設置→IPSec安全策略

Router B設置與Router A的設置類似，在設置IKE對等體時，需要在“對端地址”這欄填寫Router A的公網IP地址或者域名解析地址。
（6）路由設置
高級設置→路由設置→靜態路由。
Router A端設置：

Router B端設置：

設置路由地址，配置靜態路由時，指定目的地址網段后不需要指定下一跳地址，直接配置使用正確的IPSec虛接口即可。
三、配置關鍵點：
1、動態域名需要到http://www.pubyun.com/網站申請，注冊成功后，需要雙方互ping對端的域名來驗證彼此的公網地址是否可以成功解析并實現互通。建立好VPN后，也需要ping包來觸發VPN隧道的建立。但是ER系列設備默認都是禁止ping WAN口地址的，通過域名解析出來的公網地址也必然不通，所以在ping包之前需要實施以下步驟：將“WAN口Ping掃描”選項前面的勾去掉并點擊應用即可。
2、在VPN的配置中要注意雙方的參數一定要一致：設置IKE安全提議時，驗證算法和加密算法要一致；設置IKE對等體時，域共享密鑰、DPD功能使用要一致；設置IPSec安全提議時，安全協議類型、驗證算法和加密算法要一致；設置IPSec安全策略時，“本地子網IP/掩碼”和“對端子網/IP掩碼”要根據設置端如實填寫，注意兩端的配置正好相反。