1. 組網說明

由于公司總部分支機構眾多，需要通過VPN技術將各個分支機構組成內網，本文以華為AR1220C-S（總部）、AR1220C-S（總部）為例詳細介紹基于IPSecVPN 技術的組網過程。本問以分支機構1到總部結構建立IPSec VPN為例，詳細描述建立過程。

2. 網絡拓撲

3. 建立分支機構到總部機構的連接

3.1. 建立總部ACL列表

在AR中，點擊安全->ACL->高級ACL配置進行ACL維護。總部ACL列表包括兩個：IPSec ACL和 NAT ACL，IPSec ACL定義從總部訪問分支機構的數據包規則。如圖2所示

NAT ACL定義NAT映射數據包通過規則：

如圖3所示

定義總部到分支機構不通過NAT，允許總部訪問公網。注意：順序不能顛倒。

建立ACL后如圖4所示：

切換到IP業務->NAT,將定義的ACL賦予外網訪問，如圖5所示：

3.2. 建立總部IPsec

在AR中，點擊左側導航列表的VPN->IPSec VPN，在IPSec策略管理中，點擊新建，填寫總部端IPSec VPN名稱ipsec，，點擊接口名稱后面的按鈕，選擇公網IP接口，如圖6所示：

點擊確定按鈕，進入IPSec設置，組網模式選擇“總部站點”，填寫預共享的密碼，封裝模式選擇“隧道模式”，ACL名稱選擇ipsec，本端身份類型選擇IP地址，勾選路由注入，點擊確定按鈕，如圖7所示：

3.3. 建立分支機構ACL列表

在AR中，點擊安全->ACL->高級ACL配置進行ACL維護。分支結構ACL列表與總部對等，也包括兩個：IPSec ACL和 NAT ACL，IPSec ACL定義從分支訪問總部機構的數據包規則。如圖8所示

NAT ACL定義NAT映射數據包通過規則：

如圖9所示

定義分支到總部機構不通過NAT，允許總部訪問公網。注意：順序不能顛倒。

建立ACL后如圖4所示：

切換到IP業務->NAT,將定義的ACL賦予外網訪問，如圖11所示：

3.4. 建立分支機構IPsec

在AR中，點擊左側導航列表的VPN->IPSec VPN，在IPSec策略管理中，點擊新建，填寫分支機構端IPSec VPN名稱ipsec，，點擊接口名稱后面的按鈕，選擇公網IP接口，如圖12所示：

點擊確定按鈕，進入IPSec設置，組網模式選擇“分支站點”，及連接編號，對端為總部機構公網IP地址，填寫總部機構預共享的密碼，封裝模式選擇“隧道模式”，ACL名稱選擇ipsec，本端身份類型選擇IP地址，勾選路由注入，點擊確定按鈕，進行IPSec VPN到總部的連接，如圖13所示：