SecPath系列防火墙之分部通过DVPN接入多个总部_中国IT运维网www.cnitom.com

如图。

1. 武汉和上海两个分部通过NAT接入北京和广州总部，总部有公网地址，分部为私网地址通过NAT连接公网。
2. 两个总部之间采用GRE隧道连接
3. 每个分部通过DVPN连接两个总部，以便备份。
4. 总部和分部之间要求启用OSPF，动态学习对端私网的路由。

1. 所有隧道可以互相ping通。
2. 所有内网（loopback地址）可以互相ping通。
3. 当分部与北京总部断掉后，仍然可以通过广州总部接入北京总部。
4. 不需要ISP的特别支持。
5. 私网路由动态建立。

DVPN目前仅在secpath产品上支持。

[Secpath1-beijing]	interface GigabitEthernet0/0
	ip address 202.38.1.1 255.255.255.0
	#
	interface Tunnel0	配置DVPN 隧道接口
	ip address 192.168.1.1 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术
	source GigabitEthernet0/0	指定隧道源端口
	dvpn interface-type server	北京总部需指定为Server工作方式
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn register-type undistributed	必须配置undistributed参数，要求总部不转发其他分部的信息。这样武汉和上海之间的数据均通过总部传送。
	dvpn udp-port 8005	指定本端DVPN采用的端口号
	ospf network-type p2mp	指定为P2MP类型，默认为P2P。
	#
	interface Tunnel1	配置去往广州总部的GRE隧道口
	ip address 192.168.3.1 255.255.255.0
	source GigabitEthernet0/0
	destination 202.38.1.2
	#
	ospf
	area 0.0.0.0
	network 192.168.0.0 0.0.255.255
	network 10.1.1.1 0.0.0.255
	#

[Secpath1-guangzhou]	interface GigabitEthernet0/0
	ip address 202.38.1.2 255.255.255.0
	#
	interface Tunnel0	配置DVPN 隧道接口
	ip address 192.168.2.1 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术
	source GigabitEthernet0/0	指定隧道源端口
	dvpn interface-type server	北京总部需指定为Server工作方式
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn register-type undistributed	必须配置undistributed参数，要求总部不转发其他分部的信息。这样武汉和上海之间的数据均通过总部传送。
	dvpn udp-port 8005	指定本端DVPN采用的端口号
	ospf network-type p2mp	指定为P2MP类型，默认为P2P。
	ospf cost 2000
	#
	interface Tunnel1	配置去往广州总部的GRE隧道口
	ip address 192.168.3.2 255.255.255.0
	source GigabitEthernet0/0
	destination 202.38.1.2
	#
	ospf
	area 0.0.0.0
	network 192.168.0.0 0.0.255.255
	network 10.1.2.1 0.0.0.255
	#


[Secpath2-wuhan]	interface GigabitEthernet0/0
	ip address 172.16.1.1 255.255.255.0
	#
	interface Tunnel0	配置去往北京总部的DVPN 隧道接口
	ip address 192.168.1.2 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术
	source GigabitEthernet0/0	指定隧道源端口
	dvpn interface-type server	北京总部需指定为Server工作方式
	dvpn server server-beijing	指定server为北京
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn udp-port 8001	指定本端DVPN采用的端口号
	ospf network-type p2mp	指定为P2MP类型，默认为P2P。
	ospf cost 1000
	#
	interface Tunnel1	配置去往广州总部的DVPN 隧道接口
	ip address 192.168.2.2 255.255.255.0
	tunnel-protocol udp dvpn	采用使用UDP协议的DVPN隧道技术
	source GigabitEthernet0/0	指定隧道源端口
	dvpn interface-type server	北京总部需指定为Server工作方式
	dvpn server server-guangzhou	指定server为广州
	dvpn vpn-id 100	指定DVPN的VPN ID，所有需要互通的分部其VPN ID也必须相同
	dvpn udp-port 8001	指定本端DVPN采用的端口号
	ospf network-type p2mp	指定为P2MP类型，默认为P2P。
	ospf cost 2000
	#
	dvpn class server-beijing	配置DVPN server的息
	public-ip 202.38.1.1	Server公网地址
	private-ip 192.168.1.1	Server私网地址
	udp-port 8005	Server的DVPN端口号
	#
	dvpn class server-guangzhou	配置DVPN server的息
	public-ip 202.38.1.2	Server公网地址
	private-ip 192.168.2.1	Server私网地址
	udp-port 8005	Server的DVPN端口号
	#
	ospf
	area 0.0.0.0
	network 192.168.0.0 0.0.255.255
	network 10.1.3.1 0.0.0.255
	#