如何在同網段的 Vigor2960 之間建立 IPsec VPN

本文件將說明如何在相同區域網段的 Vigor2960_A & Vigor2960_B 之間建立 IPsec VPN。

 

在標準的 LAN to LAN VPN 協定中，撥出與撥入端必須是不同網段，才能建立 VPN。但實際上我們往往很難去一一變動每個據點的網段，尤其是已有許多伺服器或主機的龐大架構，一旦更改網段，所有的主機都要配合變更IP位址以及 rule，工程可謂相當浩大。

 

為此居易推出了利用指定虛擬網段，使得同網段之間也可以建立 VPN 的解決方案，用戶只要使用指定型號的路由器，即可在同網段之間建立 VPN 而不需更動設備原本的內部網段，以下將使用 Vigor2960 為示範說明設定方法。

 

※ 並非所有機型都有支援同網段建立 VPN 的功能，採購前請先向本公司客服人員洽詢。

架構說明

公司與分公司使用不同型號的路由器 Vigor2960_A／Vigor2960_B，並且擁有相同的區域網段192.168.1.X，且都有一台IP為 192.168.1.10 的電腦。我們將為 Vigor2960_B 指定一組不同於原本網段的虛擬網段 192.168.20.X，且在 Vigor2960_A 也建立一組不同於 Vigor2960_B 的虛擬網段192.168.10.X。當 Vigor2960_B 的電腦要來存取 Vigor2960_A 底下的電腦 192.168.1.10 時，只要代入前面設定的虛擬網段，也就是將 192.168.1.10 轉換成 192.168.10.10 即可進行溝通，如此就可以達成同網段雙向存取的目的。

　

設定 Vigor2960_A

1. 登入Vigor2960_A點選「VPN以及遠端存取 > VPN設定 > IPSec」，點選「新增」。

　

2. IPsec 設定
2.1 自行輸入設定檔名稱並勾選「啟用」。
2.2 「本機IP/子網路遮罩」：設備目前使用的區網段 192.168.1.0／255.255.255.0
2.3 「遠端IP/子網路遮罩」：輸入 Vigor2960_B 的虛擬網段 192.168.20.0／255.255.255.0
2.4 「遠端主機」：輸入 Vigor2960_B 的 WAN IP

　

3. 在「預先共用金鑰」欄位輸入自訂密碼。

　

4. 點選「進階」分頁，「套用NAT策略」勾選啟用，「轉換局部網路」為 Vigor2960_A 所要轉換的虛擬網段，輸入192.168.10.0／255.255.255.0。

　

設定 Vigor2960_B

5. 登入Vigor2960_B點選「VPN以及遠端存取 > VPN設定 > IPSec」，點選「新增」。

　

6. IPsec 設定
2.1 自行輸入設定檔名稱並勾選「啟用」。
2.2 「本機IP/子網路遮罩」：設備目前使用的區網段 192.168.1.0／255.255.255.0
2.3 「遠端IP/子網路遮罩」：輸入 Vigor2960_A 的虛擬網段 192.168.10.0／255.255.255.0
2.4 「遠端主機」：輸入 Vigor2960_A 的 WAN IP

　

7. 輸入與步驟 3. 相同的VPN密碼。

　

8. 點選「進階」分頁，「套用NAT策略」勾選啟用，「轉換局部網路」為 Vigor2960_B 所要轉換的虛擬網段，輸入192.168.20.0／255.255.255.0。

　

9. 點選「VPN以及遠端存取 > 連線管理」，可以查看VPN有沒有成功建立連線。

　

10. 使用 Vigor2960_A 區網下的電腦 ping 192.168.20.10，有回 ping 則代表 Vigor2960_A已可與 Vigor2960_B 區網下的電腦 192.168.1.10 互通。

　

---