零售门店与总部VPN互联部署案例-华为AR路由器方案

零售门店与总部VPN互联部署案例-华为AR路由器方案

1 适用范围和业务需求

适用范围

本方案适用于零售门店与总部VPN互联场景,为零售门店与总部之间建立安全可靠的数据传输通道,支持通过Internet、专线等方式构建企业多点、多分支的一体化网络。

业务需求

  • 接入需求

    需要满足零售门店通过Internet或运营商专线接入总部。

  • 安全性需求

    零售门店需要与总部通过IPsec互联,保证数据传输安全可靠。

  • 认证需求

    无认证需求。

  • 计费需求

    无计费需求。

  • 管理运维需求

    通过Web网管统一管理,简化运维。

2 方案设计

组网图

零售门店与总部VPN互联组网方案如下图所示。

图2-1 零售门店与总部VPN互联组网图

网络设计分析

  • 接入需求
    • AR1220-S作为总部出口网关,支持Internet和运营商专线两种接入方式,同时部署NAT业务,实现总部主机、运营商专线互联的门店主机访问公网资源。
    • AR101-S和AR121-S作为零售门店出口网关,通过PPPoE拨号方式接入Internet与总部互联。同时部署NAT业务,实现门店主机直接访问公网资源。
    • AR161-S作为零售门店出口网关,出接口配置静态IP地址,通过运营商专线与总部互联。门店主机通过总部访问Internet公网资源。
  • 安全性需求

    零售门店与总部之间建立IPSec隧道,数据传输通过IPSec隧道进行加密。

方案涉及网元的软件版本要求

本方案适用的产品和版本如下表所示。

产品名称

产品版本

AR1220-S

V200R007C00

AR101-S

V200R007C00

AR121-S

V200R007C00

AR161-S

V200R007C00

3 配置思路和数据规划

配置思路

采用如下的思路进行配置:

  1. 配置AR1220-S的两个接口通过静态IP方式接入Internet和运营商专线网络,配置两个策略模板方式的IPSec安全策略,并绑定到两个出接口。总部接入Internet的接口还需要部署NAT业务,实现总部主机、运营商专线接入的零售门店主机访问Internet公网资源,通过ACL控制IPSec保护的数据流不进行NAT转换。
  2. 配置AR101-S和AR121-S通过PPPoE拨号方式从运营商动态获取IP地址。采用ACL方式建立IPSec策略并绑定到Dialer接口,零售门店访问总部服务器的数据流通过IPSec加密保护。零售门店主机访问Internet公网数据流无需经总部转发,门店出接口部署NAT业务,通过ACL控制IPSec保护数据流不进行NAT转换。
  3. 配置AR161-S通过静态IP方式接入运营商专线网络。采用ACL方式建立IPSec策略并绑定到出接口,零售门店访问总部服务器需要IPSec加密保护。专线接入的零售门店主机不具备直接访问Internet的能力,数据流通过运营商专线经总部转发。
  4. 总部、零售门店的主机均通过DHCP方式从出口网关动态获取主机地址和DNS服务器地址。DHCP直接推送运营商DNS服务器地址,设备无需配置DNS代理数据。

数据规划

表3-1 AR1220-S业务数据规划

项目

数据

Internet上行接口GE0/0/0 IP地址

60.1.1.1/24

运营商专线上行接口GE0/0/1 IP地址

10.100.1.1/24

下行接口Eth0/0/3 IP地址

10.1.1.1/24

NAT方式

EasyIP

Internet接入接口IPSec VPN对接参数

  • 场景:分支总部场景-中心站点
  • IKE协商模式:野蛮模式
  • 认证方式:预共享密钥
  • 预共享密钥:huawei123
  • NAT穿越:启用
  • DPD检测:启用
  • 路由注入:启用
  • 本端身份类型:名称
  • 本端名称:rtb
  • 对端名称:rta

运营商专线接入接口IPSec VPN对接参数

  • 场景:分支总部场景-中心站点
  • IKE协商模式:野蛮模式
  • 认证方式:预共享密钥
  • 预共享密钥:huawei123
  • NAT穿越:不启用
  • DPD检测:启用
  • 路由注入:启用

表3-2 AR101-S业务数据规划

项目

数据

上行接口GE0/0/4 IP地址

PPPoE动态获取

下行接口GE0/0/3 IP地址

10.1.2.1/24

NAT

EasyIP

IPSec VPN对接参数

  • 场景:分支总部场景-分支站点
  • IKE协商模式:野蛮模式
  • 对端地址:60.1.1.1
  • 认证方式:预共享密钥
  • 预共享密钥:huawei123
  • NAT穿越:启用
  • DPD检测:启用
  • 路由注入:不启用
  • 本端身份类型:名称
  • 本端名称:rta
  • 对端名称:rtb

表3-3 AR121-S业务数据规划

项目

数据

上行接口Eth0/0/4 IP地址

PPPoE动态获取

下行接口Eth0/0/3 IP地址

10.1.3.1/24

NAT

EasyIP

IPSec VPN对接参数

  • 场景:分支总部场景-分支站点
  • IKE协商模式:野蛮模式
  • 对端地址:60.1.1.1
  • 认证方式:预共享密钥
  • 预共享密钥:huawei123
  • NAT穿越:启用
  • DPD检测:启用
  • 路由注入:不启用
  • 本端身份类型:名称
  • 本端名称:rta
  • 对端名称:rtb

表3-4 AR161-S业务数据规划

项目

数据

上行接口GE0/0/4 IP地址

10.100.2.1/24

下行接口GE0/0/3 IP地址

10.1.4.1/24

NAT

不启用

IPSec VPN对接参数

  • 场景:分支总部场景-分支站点
  • IKE协商模式:野蛮模式
  • 对端地址:10.100.1.1
  • 认证方式:预共享密钥
  • 预共享密钥:huawei123
  • NAT穿越:不启用
  • DPD检测:启用
  • 路由注入:不启用

表3-5 公网访问验证辅助数据

项目

数据

运营商DNS服务器地址

114.114.114.114

公网测试目标主机域名

sit.com.cn

公网测试目标主机地址

202.202.202.202