求帮助啊，VPN

波安

做 了VPN广州和上海可以互通、广州和北京可以互通
但是 上海和北京不能互通？？？？为啥啊

在路上

    传统的点到点VPN，必须是两点之间互相配置VPN，内网才能互访。广州和上海可以互通、广州和北京可以互通，不等于北京和上海之间可以互访，尽管在广州ACL中增加可以访问上海和北京的网段。
   解决的办法，其一是在上海和北京之间配置VPN，其二整个VPN配置成Dynamic MultiSite VPN（DMVPN），即动态多点VPN。广州作为HUB端，上海和北京作为SPOKE端，这样上海和北京之间可以互访，但DMVPN不支持防火墙，只支持路由器。

波安

在路上 发表于 2013-6-10 22:01
传统的点到点VPN，必须是两点之间互相配置VPN，内网才能互访。广州和上海可以互通、广州和北京可以互通 ...

广州作为总公司已分别和上海、北京分公司做VPN已经通了,只要在广州到上海的crypto acl增加允许北京到上海，在广州到上海的crypto acl增加允许上海到广州。然后分别在上海和广州的 crypto acl增加一条到对方的ACL。这样上海和北京的VPN流量就通过广州总公司。难道这样做不行？？
你说的第一种方法：是可以，但是不符合我们的要求，分公司之间的流量必须经过总公司

波安

波安 发表于 2013-6-12 12:02
广州作为总公司已分别和上海、北京分公司做VPN已经通了,只要在广州到上海的crypto acl增加允许北京到上海 ...

做NAT-T问题就很多

波安

波安 发表于 2013-6-12 12:03
做NAT-T问题就很多

上面写错了，是在广州到上海的 crypto acl增加允许上海到北京

在路上

波安 发表于 2013-6-12 12:02
广州作为总公司已分别和上海、北京分公司做VPN已经通了,只要在广州到上海的crypto acl增加允许北京到上海 ...

      如果你做的是传统的点到点IPSEC VPN，你只靠在ACL中增加相关站点的内部网络是不行。道理很简单，上海和北京之间没有VPN关系，没有IPSEC VPN隧道。
    既然传统的点到点IPSEC VPN不符合你的要求，DMVPN是可行的部署方案。

xxenge

进来学习一下

h82848

maqizhao

都快过来围观，楼主的好帖赞爆了