环境:
总部AF 8.0.75
分部B AF8.0.48
分部C AC 13.0.62
问题描述:
总部A防火墙和分部B防火墙做了sangfor VPN ,总部A防火墙和分部C AC也做了sangfor VPN ,分部B怎么和分部C直接互相互访?
两个分支分别与总部建立VPN隧道,但分支1与分支2之间并没有任何线路相连,也没有VPN隧道
解决方案:
通过在分支设备中配置隧道间路由实现
AF隧道间路由应用于多个SanforVPN互联,多个分支之间无直接的VPN连接,想通过总部进行分支之间互访场景,可轻松实现多个VPN(软/硬件)之间的互联,真正实现“网状”VPN网络。 例如:总部(“深圳”192.168.1.x/24)同时与分支(“上海”172.16.1.x/24)、(“广州”10.1.1.x/24)建立了VPN连接(分支“上海”、“广州”通过设置连接管理实现与总部互联),但“上海”与“广州”之间没有VPN连接,通过设置适当的“隧道间路由”规则,即可实现“上海”与“广州”之间的相互访问
隧道间路由的配置(在两个分支设备上配置)
1、本地子网掩码,写自己本地要发布的网段
2、目的子网掩码,写到对端的网段
3、目的用户(中转路由设置),写本地连接总部的用户
分部B AF:
分部C AC
启用路由首先勾选启用路由,2新增网络号源(即分支1需要访问对端的本端内网网段):4.4.4.0/24子网掩码源(即本端内网网段的掩码):255.255.255.0网络号目的(即分支1需要访问对端的对端内网网段):3.3.3.0/24
最后互ping测试
注意:
1、AF中sangforvpn(和深信服设备做对接)支持隧道间路由;截止标准版本AF8.0.85,AF中的第三方对接(和第三方厂商对接)暂不支持隧道间路由
2、AF设备之间互联SANGFOR VPN,隧道间路由没有版本要求,AF跟深信服其他设备对接SANGFORVPN配置隧道间路由,需要确认对方的支持情况
3、截止标准版本AF8.0.85,AF隧道间路由暂不支持批量配置;支持最多配置101条隧道间路由