在多分支机构的VPN构建中,星型VPN网络是比较常见的一种构建方式,所有的办公点都和总部接入,访问总部的服务器。
例如总部是C,网络架构就是A-----Internet----C------Internet------B
一个常见的问题是,A点不仅需要访问C点,还需要访问B点,B点也有访问A点数据的需求。
在Vigor路由器中,有两种方式可以实现这一需求。
方法1:添加VPN静态路由来实现路由的转发。
设置位置在下图中的“更多”按钮处,需要特别注意的是,A点需要在“更多”里设置B的LAN网段,而B也必须在“更多”里设置A的LAN网段,也就是说,双方都要知道,访问对方是通过当前这条VPN可以实现。
至于C点,无需做任何设置,即可实现中转二者数据的工作。
注:
1. 这种设置方法一般是适用于Vigor路由器之间,第三方路由器的IPSec模式一般不支持这样直接路由中转。有些可以通过在第三方路由器配置策略实现,有些完全不支持。
2. 如果是到第三方路由器的IPSec,如果第三方路由器支持Multiple-SA,可以勾选“为每个子网创建第二阶段SA”来实现多网段连接中转。
方法2:放大网段法
在C点放大网段,A和B都将远端网段设置成一个大网段
举例:
A点的网络是192.168.1.0/24,B点的网络是192.168.2.0/24,C点的网络是192.168.254.0/24
在A和C之间设置VPN时,在A点设置远端网段,不设置为C的网段192.168.254.0/24,而是设置为192.168.0.0/16这个B类网段,相当于告诉路由器A,除了本地网络外,去192.168.0.0-192.168.255.255的所有网络数据,都通过VPN转发。
相应在C点,也要做相反的设定,即在C点,设置本地网络IP为192.168.0.0,本地网络掩码为255.255.0.0(请注意,C点真实的IP还是192.168.254.1/255.255.255.0,这个网段放大只存在于VPN配置档中)
同样的,在B到C的VPN设置中,也要做放大网段的设置,让B到所有192.168.0.0/16的网络数据,全部通过VPN转发。设置和上面类似,就不再放截图了。
经过以上配置,VPN联通后,A和B就可以通过C互通了。
网段放大法,不止适用于Vigor到Vigor,也适用于Vigor到第三方品牌的VPN连接。
写在最后:
需要说明的是,任何模式的中转,数据都是经过中间路由器的,并不是直接连接,因此会受制于三者两两之间的实际传输速度(不是网络标称速度,而是实际速度)。所以,如果中转比较慢的话,不妨尝试直连。
