深信服设备提供了强大的VPN隧道间路由功能,通过设置隧道间路由,可轻松实现多个VPN(软/硬件)之间的互联,真正实现“网状”VPN网络。
例如:总部(“深圳”192.168.1.x/24)同时与分支(“上海”172.16.1.x/24)、(“广州”10.1.1.x/24)建立了VPN连接(分支“上海”、“广州”通过设置连接管理实现与总部互联),但“上海”与“广州”之间没有VPN连接,通过设置适当的“隧道间路由”规则,即可实现“上海”与“广州”之间的相互访问,具体配置如下:
步骤1.在分支“上海”的隧道间路由设置中勾选<启用路由>,点击<新增>,添加到“广州”的路由,页面如下。
• 网络号(源):设置源地址网络号,本例中应设置为172.16.1.0 。
• 子网掩码(源):设置源地址子网掩码,本例中应设置为255.255.255.0。
• 网络号(目的):设置目的地址网络号,本例中应设置为10.1.1.0。
• 子网掩码(目的):设置目的地址子网掩码,本例中应设置为255.255.255.0。
• 目的路由用户:设置路由指向的VPN连接用户。
• 网络号(源)、网络号(目的):用于匹配数据的源IP地址、目的IP地址,当VPN隧道中传输的数据匹配设置时,则此路由设置生效,数据将被转发给相应的VPN设备。目的路由用户:可理解为“要将路由的数据发往哪一个VPN设备”,本例中分支“上海”在[连接管理]中设置了使用用户名“shanghai”与总部建立了VPN连接,因此以用户名“shanghai”标示将路由的数据发往总部。
步骤2.在分支“广州”的隧道间路由设置中勾选<启用路由>,点击新增,添加到“上海”的路由,页面如下。
• 网络号(源):设置源地址网络号,本例中应设置为10.1.1.0。
• 子网掩码(源):设置源地址子网掩码,本例中应设置为255.255.255.0。
• 网络号(目的):设置目的地址网络号,本例中应设置为172.16.1.0。
• 子网掩码(目的):设置目的地址子网掩码,本例中应设置为255.255.255.0。
• 目的路由用户:设置路由指向的VPN连接用户,本例中应设置为“guangzhou”。
步骤3.隧道间路由还可用于设置将分支的上网数据全部发往总部,通过总部的公网出口上网,例如,在分支上海设置通过总部上网,页面如下。
• 网络号(源):设置源地址网络号,设置本端需要通过总部上网的网络号。
• 子网掩码(源):设置源地址子网掩码,本例中应设置为255.255.255.0。
• 目的路由用户:设置路由指向的VPN连接用户,本例中应设置为上海。
步骤4.勾选[通过目的路由用户上网]和[启用],点击<确定>,保存设置。
步骤5.通过总部线路上网时,则必须在[系统管理/防火墙/NAT代理上网]中添加对VPN网段的代理规则。
建议使用Chrome浏览器访问!
