两个办公室的独立网络怎样组成一个局域网？

     很多公司会存在有几个办公场所的情况，而这两个办公场所肯定有各自独立宽带网络与局域网环境，实际工作中可能需要两地访问某项服务，除了端口映射其实我们还能利用企业级路由器的IPSEC VPN功能，来实现两个独立网络下的局域网互连。
      中小型企业常用路由器H3C ER系列路由器：

   一：组网图：

 二 配置步骤：

  如果两边路由器都是动态IP地址可以使用野蛮模式建立IPSEC VPN。
R1 设置：
1）设置虚接口：
VPN→VPN设置→虚接口
选择一个虚接口名称和与其相应的WAN1口绑定，单击<增加>按钮。

(2)设置IKE安全提议
VPN→VPN设置→IKE安全提议
输入安全提议名称，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。

(3)        设置IKE对等体
VPN→VPN设置→IKE对等体
输入对等体名称，选择对应的虚接口ipsec0。在“对端地址”文本框中输入Router B的IP地址如通过DDNS域名解析服务的地址，选择野蛮模式的NAME类型，分别填写两端的ID。

(4)        设置IPSec安全提议
VPN→VPN设置→IPSec安全提议
输入安全提议名称，选择安全协议类型为ESP，并设置验证算法和加密算法分别为MD5、3DES，单击<增加>按钮。


(5)设置IPSec安全策略
VPN→VPN设置→IPSec安全策略


Router B设置与Router A的设置类似，在设置IKE对等体时，需要在“对端地址”这栏填写Router A的公网IP地址或者域名解析地址。
（6）路由设置
高级设置→路由设置→静态路由。
Router A端设置：


Router B端设置：

设置路由地址，配置静态路由时，指定目的地址网段后不需要指定下一跳地址，直接配置使用正确的IPSec虚接口即可。
三、 配置关键点：
1、动态域名需要到http://www.pubyun.com/网站申请，注册成功后，需要双方互ping对端的域名来验证彼此的公网地址是否可以成功解析并实现互通。建立好VPN后，也需要ping包来触发VPN隧道的建立。但是ER系列设备默认都是禁止ping WAN口地址的，通过域名解析出来的公网地址也必然不通，所以在ping包之前需要实施以下步骤：将“WAN口Ping扫描”选项前面的勾去掉并点击应用即可。
2、在VPN的配置中要注意双方的参数一定要一致：设置IKE安全提议时，验证算法和加密算法要一致；设置IKE对等体时，域共享密钥、DPD功能使用要一致；设置IPSec安全提议时，安全协议类型、验证算法和加密算法要一致；设置IPSec安全策略时，“本地子网IP/掩码”和“对端子网/IP掩码”要根据设置端如实填写，注意两端的配置正好相反。

3、静态路由配置要注意填写目的地址时，需要填写对端的子网地址，不要填写下一跳地址，直接选IPSEC子接口为出接口。

如果后会显示如下信息：