1. 组网说明

由于公司总部分支机构众多，需要通过VPN技术将各个分支机构组成内网，本文以华为AR1220C-S（总部）、AR1220C-S（总部）为例详细介绍基于IPSecVPN 技术的组网过程。本问以分支机构1到总部结构建立IPSec VPN为例，详细描述建立过程。

2. 网络拓扑

图1

3. 建立分支机构到总部机构的连接

3.1. 建立总部ACL列表

在AR中，点击安全->ACL->高级ACL配置进行ACL维护。总部ACL列表包括两个：IPSec ACL和 NAT ACL，IPSec ACL定义从总部访问分支机构的数据包规则。如图2所示

图2

NAT ACL定义NAT映射数据包通过规则：

如图3所示

图3

定义总部到分支机构不通过NAT，允许总部访问公网。注意：顺序不能颠倒。

建立ACL后如图4所示：

图4

切换到IP业务->NAT,将定义的ACL赋予外网访问，如图5所示：

图5

3.2. 建立总部IPsec

在AR中，点击左侧导航列表的VPN->IPSec VPN，在IPSec策略管理中，点击新建，填写总部端IPSec VPN名称ipsec，，点击接口名称后面的按钮，选择公网IP接口，如图6所示：

图6

点击确定按钮，进入IPSec设置，组网模式选择“总部站点”，填写预共享的密码，封装模式选择“隧道模式”，ACL名称选择ipsec，本端身份类型选择IP地址，勾选路由注入，点击确定按钮，如图7所示：

图7

3.3. 建立分支机构ACL列表

在AR中，点击安全->ACL->高级ACL配置进行ACL维护。分支结构ACL列表与总部对等，也包括两个：IPSec ACL和 NAT ACL，IPSec ACL定义从分支访问总部机构的数据包规则。如图8所示

图8

NAT ACL定义NAT映射数据包通过规则：

如图9所示

图9

定义分支到总部机构不通过NAT，允许总部访问公网。注意：顺序不能颠倒。

建立ACL后如图4所示：

图10

切换到IP业务->NAT,将定义的ACL赋予外网访问，如图11所示：

图11

3.4. 建立分支机构IPsec

在AR中，点击左侧导航列表的VPN->IPSec VPN，在IPSec策略管理中，点击新建，填写分支机构端IPSec VPN名称ipsec，，点击接口名称后面的按钮，选择公网IP接口，如图12所示：

图12

点击确定按钮，进入IPSec设置，组网模式选择“分支站点”，及连接编号，对端为总部机构公网IP地址，填写总部机构预共享的密码，封装模式选择“隧道模式”，ACL名称选择ipsec，本端身份类型选择IP地址，勾选路由注入，点击确定按钮，进行IPSec VPN到总部的连接，如图13所示：

图13