日本电子维修技术 网络企业路由器买哪种比较好？要求支持IPSec并支

每个分支机构下面都有多个网段，
如A机构：
192.168.2.1
10.10.2.1

B机构下面：
192.168.3.1
10.10.3.1

C机构下面：
192.168.4.1
10.10.4.1

试过某企业路由器，
A和B之间可以成功建立IPSec通道并组网，
但是A只能ping连接B的192.168.3.1网段，无法连接B的10.10.3.1网段，怎么办：（
这路由也太傻了
企业路由，难道不应该功能更强大一些，IPSec也支持多个网段么


【要求ipsec互联掉线，或者路由重启后(路由IP会发生变化)，能够自动重播】
哪种企业路由的组网功能比较强大呢？要求支持多网段，支持掉线重播，支持动态域名组网。

所以，这里有玩过企业路由的朋友么？
哪种企业路由的分支机构多网络互联功能比较强大呢？

评论
工具可不会傻，傻的是不会用工具的人
开个玩笑楼主别介意
你这不是2句话就可以说清楚的，要么你自己找相关资料学习下，要么就请第三方公司帮你做
这些设备不是买回来就自动连通了的，是要按需求自己配置的
功能再全的企业设备你不会配置那就是摆设

评论
干活的话还是得专业的人来
看你这个需求软路由搞得定

评论
你要做路由才行

评论


我自己尝试了很多中配置，成功了，但是发现有些问题，让厂家来解决多网段互联问题，结果他们也搞不定

明显路由器没做好



评论

IPSec+路由规则试过了，不行鸭

评论
既然192.168.x.1网段能互通
怎么10.10.x.1网段不改成192.168.1x.1网段呢？

评论

啥牌子厂家给我避避雷
一般来说多网段互联写路由就能解决，不过不知道你网络啥结构也不太好说

评论


用L2TP+路由规则，可以解决互联问题，
但是服务端路由重启后，L2TP不会自动拨号

这些个企业路由，真像个破鼓，锤响一处，另一处总有些奇奇怪怪的问题

评论
第一个，看功能，有些路由器ipsec不仅是加路由，还有ipsec配置当中也要指定网段。有些只要ipsec连成功，单独加路由就行。另外还有访问策略可能也要调整，不知道LZ是否都核对过

第二个，听上去你的internet没有固定ip，要么找运营商买一个，要么买个ddns

评论
我单位的倒是没建立ipsec通道，跑未批恩用的是单独一台山石的防火墙，只做未批恩用，防火墙用另外一台深信服设备。你这个网段ping不通应该是路由规则没做好吧。

评论
IPSec蛋疼的一点它是基于规则的，用起来不是很得劲，所以建议GRE over IPSec。

如果能用WireGuard，那么WireGuard yyds。

评论

在用ddns，ipsec可以成功建立，但是只支持第一个网段，第二个网段无法互联。



评论

GRE over IPSec，你用的什么设备，听起来挺高大克拉斯啊

评论

深信服设备是不是按年收费的

评论
中间过NAT了吧

评论
这种应该还要设置路由协议的，可以手写静态路由表也可以用RIP/OSPF等IGP协议动态协商。（如果支持）

评论

有一种叫屌丝v*p*n（DS**），华为的eNSP上可完美模拟。在eNSP上跑一下看看是否能满足场景需求不就好了

评论
不支持多网段？这个一般来说是没有把对应的流量引入到IPSEC隧道

评论

防火墙是按年收费的

评论
应该是随便哪个设备厂商都能实现，以huawei的设备为例：
首先要配置ACL来定义需保护的业务流，以你的场景以A机构为例应该是如下配置,
[RouterA] acl number 3002
[RouterA-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[RouterA-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255 destination 10.10.3.0 0.0.0.255
[RouterA-acl-adv-3002] rule permit ip source 10.10.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[RouterA-acl-adv-3002] rule permit ip source 10.10.2.0 0.0.0.255 destination 10.10.3.0 0.0.0.255


评论
然后配置安全策略
[RouterA] ipsec policy policy1 10 isakmp
[RouterA-ipsec-policy-isakmp-policy1-10] ike-peer rut1
[RouterA-ipsec-policy-isakmp-policy1-10] proposal tran1
[RouterA-ipsec-policy-isakmp-policy1-10] security acl 3002
最后在接口上调用policy1的策略
[RouterA] interface gigabitethernet 0/0/1
[RouterA-GigabitEthernet0/0/1] ipsec policy policy1

评论
除了上面传统的IPSEC V*P* N外，还有很多衍生的技术可以简化部署场景，例如Effient V*P*N，DS-V*P*N。
EV*P*N+分布式网关这种通常用于数据中心SPINE-LEAF架构的大二层技术，也是蛮流行的。
最后说起来，CISCO，huawei,H3C这三家的设备只要肯花钱，那是相当的强大的



评论

公司的东西绝对不能用软路由

评论
正常，这样一直排下去，还非要搞个10开头的，还分ABC机构，你还是找专业的做的吧，这种设置非常麻烦的，论坛里说不清楚的
192.168.2.1
192.168.3.1
192.168.4.1
192.168.5.1

评论
ip 地址 头两组数学不同纳入统一内网有一定难度吧。

评论
我这用的深信服的设备，每个分支有几个或者十几个VLAN，IPSEC通了以后就把需要互通的其他段两边加对应网段的静态路由就能通了。一般来说也都是这样的。

评论
当然可以了，要用ACL定义策略，然后绑定

评论
买个飞塔挺好也不贵

评论
坦白讲，这个需求在华为华三思科的设备来说，都是最最基础的功能了。至于价格，和这些功能关系都不大，取决于规模和性能。
我现在用华为SMB类产品，两个城市6个局点，每个局点的成本不超过1000块钱都搞定了。这种需求肯定是思科，设备和服务一起买。

评论
如果不需要背锅 就自己装虚拟机 pfsense 国外都用这个的很多的 比如LTT也用的这个系统
我家里就用的2个pfsense的虚拟机 热备
很稳 随便折腾 一个电脑关机了折腾乱拆什么的 热备的马上顶上
当然也有官方的成品直接买 不过价格天价 还要从国外运

我的设备是主路由器有万兆网卡 热备的是一个8核的笔记本（挖矿中）
热备设置很简单的 参考我当年写的这个教程
https://www.chiphell.com/thread-2221918-1-1.html

评论


如果配置都没错，可以做个traceroute分别到两个网段，看看路径是否都是一致的。有可能是某个节点有重复网段

评论

8核的笔记本（挖矿中）
挖比特币么

评论

3070显卡 eth
电路 电子 维修 我现在把定影部分拆出来了。想换下滚，因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗？ 评论 认真看，认真瞧。果然有收 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号，不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01
 ·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 ｛日本国际学校｝梅田インターナショナルスクール
·日本学校 LINE：sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場　一時1ドル＝140円台まで上昇？
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
 ·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办？