IPSEC VPN配置实例

TL-R400VPN应用——IPSEC VPN配置实例

TL-ER6120是TP-LINK专为企业应用而开发的VPN路由器，具备强大的数据处理能力，并且支持丰富的软件功能，包括VPN、IP/MAC 地址绑定、常见攻击防护、访问控制列表、QQ/MSN/迅雷/金融软件限制、IP带宽控制、连接数限制及电子公告等功能，适合企业、小区、酒店等组建安全、高效、易管理的网络。

TL-R400vpn是TP-LINK专为企业分支机构接入IPSEC vpn网络而开发的专用VPN路由器，支持5条IPSec VPN隧道，支持IP与MAC绑定，有效防范ARP攻击，支持DoS攻击防护，有效抵御各类广域网的网络攻击，支持带宽控制，灵活控制用户带宽，支持访问控制策略，可基于IP/MAC地址限定主机上网权限。

需求介绍

某公司总公司位于深圳，在北京、上海两地有分公司，现需要组建一个网络，达到三个机构能资源共享的目的，本文将通过一个实例来展示TL-ER6120与TL-R400vpn的解决方案和配置过程。

网络规划

深圳总公司局域网网段为“192.168.0.0/24”； 北京分公司为“192.168.1.0/24”； 上海分公司为“192.168.2.0/24”；

深圳总部TL-ER6120设置步骤：

一）、基本设置：

1、设置路由器的WAN口模式：基本设置→WAN口设置，进入“WAN口模式”标签页，根据需求设置WAN口数量，此处我们选择为“单WAN口”，保存。

2、设置WAN口网络参数：基本设置→WAN口设置，“WAN1设置”标签页，设置WAN口网络参数以及该线路的上下行带宽值。

注意：请如实填写线路的上行与下行带宽值。

二）、IPsec VPN设置：

此处以配置北京分公司与深圳总公司间的IPsec VPN为例，首先配置深圳总公司的TL-ER6120：

（1）、配置IKE安全提议：VPN→IKE，进入“IKE安全提议”标签页，选择合适的验证、加密算法以及DH组。

（2）、配置IKE安全策略：VPN→IKE，进入“IKE安全策略”标签页。

◆ 协商模式：主模式（Main mode）适用于对身份保护要求较高的场合；野蛮模式（Aggressive mode）适用于对身份保护要求较低的场合，推荐使用主模式。

◆ 安全提议：选择在“IKE安全提议”中创建的安全提议名称。

◆ 预共享密钥：设置IKE认证的预共享密钥，通信双方的预共享密钥必须相同。

◆ DPD检测：Dead Peer Detect，检测对端在线状态，建议启用。

（3）、配置IPsec安全提议：VPN→IPsec，进入“IPsec安全提议”标签页，输入IPsec安全提议名称，选择合适的安全协议以及验证算法。

（4）、配置IPsec安全策略：VPN→IPsec，进入“IPsec安全策略”标签页。

◆ 安全策略名称：设置IPsec安全策略名称。

◆ 本地子网范围：设置本地子网范围，即深圳总公司局域网“192.168.0.0 /24” 。

◆ 对端子网范围：设置对端子网范围，即北京分公司局域网“192.168.1.0 /24” 。

◆ 对端网关：填写对端IPsec VPN服务器的IP地址或者域名，此处为北京分公司TL-R400vpn WAN口IP地址“121.10.10.2” 。

◆ 协商方式：协商方式分为IKE协商和手动模式两种，手动模式需要用户手工配置密钥、SPI等参数；而IKE方式则由IKE自动协商生成这些参数，建议选择“IKE协商”。

◆ IKE安全策略：选择所配置的IKE安全策略。

◆ 安全提议：选择配置的IPsec安全提议。

◆ PFS： 用于IKE协商方式下设置IPsec会话密钥的PFS属性，本地与对端的PFS属性必须一致。

◆ 生存时间 ：用于IKE协商方式下IPsec会话密钥的生存时间。

（5）IPsec 安全策略如下：

上海、广州分公司TL-R400vpn 配置方法：

一）、基本设置：

设置路由器的WAN口模式：网络参数→WAN口设置，根据需求设置WAN口连接类型，此处我们选择为“静态IP”，保存。

二）、IPsec VPN设置：

此处以配置北京分公司与深圳总公司间的IPsec VPN为例，首先配置深圳总公司的TL-ER6120：

（1）、配置IKE安全提议：VPN→IKE

点击“添加新条目”，选择合适的验证、加密算法以及DH组，需要与深圳总部TL-ER6120中的安全提议相同

上图中各个选项意义上文TL-ER6120中的意义相同。

点击保存，后生成一条安全策略列表信息

（2）、配置IPsec安全提议：VPN→IPsec

点击“添加单个条目”，填写页面中相应的内容。

在上图中：

安全策略名称：设置IPsec安全策略名称。

◆ 本地子网范围：设置本地子网范围，即北京分公司局域网“192.168.1.0 /24” 。

◆ 对端子网范围：设置对端子网范围，即深圳总公司局域网“192.168.0.0 /24” 。

◆ 对端网关：填写对端IPsec VPN服务器的IP地址或者域名，此处为深圳总公司TL-ER6120 WAN口IP地址“121.1.1.2” 。

◆ 协商方式：协商方式分为IKE协商和手动模式两种，手动模式需要用户手工配置密钥、SPI等参数；而IKE方式则由IKE自动协商生成这些参数，建议选择“IKE协商”。

◆ 安全协议：选择配置的IPsec安全协议。

◆ IKE安全策略：选择所配置的IKE安全策略。

◆ PFS： 用于IKE协商方式下设置IPsec会话密钥的PFS属性，本地与对端的PFS属性必须一致。

◆ 生存时间 ：用于IKE协商方式下IPsec会话密钥的生存时间。

配置完成后点击保存，在IPsec安全策略信息中出现一个条目：

IPsec功能中，点击启用>保存

配置完成，IPsec安全联盟建立成功后，北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0 /24 ”间可相互访问。