Juniper SRX到SRX站点到站点VPN通过信任区域中的现有广域网

Question

我有一个有5个站点的客户端，每个站点都使用自己的专用局域网子网。

他们目前正在使用一个服务提供商来连接他们的分支和集中地进行互联网突破。我需要通过现有的广域网，在另一个分支机构将他们暂时转移到互联网上。我无法配置当前的广域网。我的计划是放弃SRX设备在这5个站点，并给他们一个本地局域网IP，然后创建一个VPN隧道到主SRX的本地LAN IP。然后将流量路由到主站点，然后在主站点发送到Internet。

既然他们可以通过现有的广域网进行平传和路由，这应该是可行的吗？

我可以终止本地局域网IP上的VPN吗？我将不得不在工地SRX上创建静态路线，利用现有的站点网关到达主SRX以初始化隧道，然后再通过隧道路由所有其他流量？

我能得到一些指点吗？

我曾游玩过一些成功，有些隧道确实连在一起，但数据不流动等等。我得先把头伸出来.

Answer 1

实际上，我认为你想要达到的大部分目标都在这份文件中得到了回答：http://www.juniper.net/us/en/local/pdf/app-notes/3500192-en.pdf

由于这种设置需要两个路由实例(一个是基于流的，另一个是基于数据包的)，所以只要使用两个不同的接口，就应该能够在SRX的两边使用本地的"LAN“IP。

您需要使用的SRXes必须是"HighMemory“类型的IE: SRX100H (而不是SRX100B)，才能支持GRE碎片。