配置vpn前的一些配置

    在配置Branch Office Tunnel之前，先要做一些预配置和准备（以下配置均在WEB管理界面进行）。

1． 在System > Forwarding 页面下的Tunnel to Tunnel Traffic项下，选中 “allow branch office-to-branch office traffic”。
2． 在Profiles Networks页面下，确定你想要连接的某个（或者几个）私有网络。如果没有请添加上去，并取一个名字，比如Sales Team。
3． 在Profiles Hours页面下，确定你想设定的允许接入Branch Office Tunnel的时间段。例如：星期一到五，9点到18点；星期六、日10点到16点（接入时间段是在Group中启用的，在Branch Office的并无此项可供选择）。
4． 在Profiles Filters页面下，确定列出了你想要用在Branch Office上的过滤选项。如果没有，请添加上去，并取一个名字，比如Only FTP。
 

配置站点VPN

    在完成前面的准备工作后，我们可以开始配置Branch Office了。典型的Branch Office配置需要实施两次；一次是在本地CVR，另一次是在远端CVR。两次配置基本上是对称的，比如，一个配置的远端地址为另一个配置的本地地址；一个配置的本地网络是另一个配置的远端网络。

1．进入Profiles > Branch Office选项。

2．在Groups选项，选择想要加入的Branch Group。成为该Group组员后，将继承该Group的所有属性，比如：接入时间（如果你没有预先设定好Group，请按Add键添加）。

3．在Connections选项，点击Add来建立一个新的Branch Office Connection。

4．在Connection界面下：

Connection Name：输入该Connection的名字（比如Shanghai to Beijing）；
Control Tunnel：选项卡为Disabled/Enabled，用来设定该Connection是否用于管理。默认为Disabled（Control Tunnel只能用于管理用途）。
Tunnel Type：选项卡为IPSec/PPTP/L2TP，用来设定不同的Tunnel技术。默认为IPSec。
Connection Type：选项卡为Peer to Peer/Initiator/Responder，用来设定Tunnel的对称性。
 

      Peer to Peer为对称模式（Symmetric Mode）；Initiator/Responder为非对称模式（Asymmetric Mode）。默认为Peer to Peer（本节以对称模式为例）。

5． 输入完4中的选项后，按OK，进入该Connection的配置界面（注：以下配置以4中默认值为例，其他的配置情况将在后面讨论）：
Connection > Enable：请打勾，来激活该Connection。

• Endpoints > Local IP Address：选择本地CVR的外网接口地址（Public IP Address）。
• Endpoints > Remote IP Address：输入将要连接的远端CVR的外网接口地址。
• Filters > Filter：选择想要执行的过滤策略（在Part Three-A-4中设定的策略会显示在这里）。
• Authentication：选项卡为Text Pre-Shared Key/Hex Pre-Shared Key/Certificate，用来设定认证的方式，默认为Text Pre-Shared Key（选择了特定的选项卡内容，会出项相应的子选项）。
• MTU > Tunnel MTU：选项卡为Enabled/Disabled，用来设定是否在Tunnel启用MTU（默认值为Enabled）。
• MTU > MTU Value：输入想要设定的MTU数值（默认值为1788）。
• NAT > NAT：选项卡为预先设定的NAT策略（NAT策略在Services > Firewall/NAT中设定）。
• IP Configuration：选项卡为Static/Dynamic，用来设定IP路由协议。默认为Static，即静态路由（选择不同的选项卡内容，将出现不同的子项）。
• IP Configuration > Local Networks：选项卡为想要参与该Tunnel的本地内部网络（在Part Three-A-2中设定的网络名称会显示在这里）。
• IP Configuration > Remote Networks：添加想要参与该Tunnel的远端内部网络。
• 注：以上两项内容为Static的子项。
• IP Configuration > OSPF > OSPF Enabled：选项卡为Disabled/Enabled，用来设定是否启用动态路由协议OSPF。
• IP Configuration > OSPF > OSPF Area Id：选择OSPF Area ID（默认值为0）。
• IP Configuration > OSPF > OSPF Cost：输入OSPF的参数Cost数值（默认值为100）。
• 在这三项的下方灰色部分内容（图7），选项为Enable OSFP Globally（在系统全局启动OSPF）和Add Routing Policy（添加路由策略，附有子菜单）。
• IP Configuration > RIP > RIP Enabled：选项卡为Disabled/Enabled，用来设定是否启用动态路由协议RIP。
• IP Configuration > RIP > RIP Cost：输入RIP的参数Cost数值（默认值为1）。
• 在这两项的下方灰色部分内容（图8），选项为Enable RIP Globally（在系统全局启动RIP）和Add Routing Policy（添加路由策略，附有子菜单）。

 
（图7）

（图 8）

6.完成这一步以后，点击最下方的Apply，然后OK完成Local方CVR的配置（图8）。

7.按照1至6的做法，完成对Remote方CVR的配置。

8.回到Profile > Branch Office界面，在前面配置好的Connections项，选择Test。

9.在Local端的PC上，对Remote端的Private LAN进行Ping包。如果可以Ping通，则Tunnel建立成功。

    这样一个基本的点对点的VPN就建立成功了。