IPSEC VPN配置实例
TL-R400VPN应用——IPSEC VPN配置实例
TL-ER6120是TP-LINK专为企业应用而开发的VPN路由器,具备强大的数据处理能力,并且支持丰富的软件功能,包括VPN、IP/MAC 地址绑定、常见攻击防护、访问控制列表、QQ/MSN/迅雷/金融软件限制、IP带宽控制、连接数限制及电子公告等功能,适合企业、小区、酒店等组建安全、高效、易管理的网络。
TL-R400vpn是TP-LINK专为企业分支机构接入IPSEC vpn网络而开发的专用VPN路由器,支持5条IPSec VPN隧道,支持IP与MAC绑定,有效防范ARP攻击,支持DoS攻击防护,有效抵御各类广域网的网络攻击,支持带宽控制,灵活控制用户带宽,支持访问控制策略,可基于IP/MAC地址限定主机上网权限。
需求介绍
某公司总公司位于深圳,在北京、上海两地有分公司,现需要组建一个网络,达到三个机构能资源共享的目的,本文将通过一个实例来展示TL-ER6120与TL-R400vpn的解决方案和配置过程。
网络规划
深圳总公司局域网网段为“192.168.0.0/24”; 北京分公司为“192.168.1.0/24”; 上海分公司为“192.168.2.0/24”;

深圳总部TL-ER6120设置步骤:
一)、基本设置:
1、设置路由器的WAN口模式:基本设置→WAN口设置,进入“WAN口模式”标签页,根据需求设置WAN口数量,此处我们选择为“单WAN口”,保存。

2、设置WAN口网络参数:基本设置→WAN口设置,“WAN1设置”标签页,设置WAN口网络参数以及该线路的上下行带宽值。
注意:请如实填写线路的上行与下行带宽值。

二)、IPsec VPN设置:
此处以配置北京分公司与深圳总公司间的IPsec VPN为例,首先配置深圳总公司的TL-ER6120:
(1)、配置IKE安全提议:VPN→IKE,进入“IKE安全提议”标签页,选择合适的验证、加密算法以及DH组。

(2)、配置IKE安全策略:VPN→IKE,进入“IKE安全策略”标签页。
◆ 协商模式:主模式(Main mode)适用于对身份保护要求较高的场合;野蛮模式(Aggressive mode)适用于对身份保护要求较低的场合,推荐使用主模式。
◆ 安全提议:选择在“IKE安全提议”中创建的安全提议名称。
◆ 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。
◆ DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。

(3)、配置IPsec安全提议:VPN→IPsec,进入“IPsec安全提议”标签页,输入IPsec安全提议名称,选择合适的安全协议以及验证算法。

(4)、配置IPsec安全策略:VPN→IPsec,进入“IPsec安全策略”标签页。
◆ 安全策略名称:设置IPsec安全策略名称。
◆ 本地子网范围:设置本地子网范围,即深圳总公司局域网“192.168.0.0 /24” 。
◆ 对端子网范围:设置对端子网范围,即北京分公司局域网“192.168.1.0 /24” 。
◆ 对端网关:填写对端IPsec VPN服务器的IP地址或者域名,此处为北京分公司TL-R400vpn WAN口IP地址“121.10.10.2” 。
◆ 协商方式:协商方式分为IKE协商和手动模式两种,手动模式需要用户手工配置密钥、SPI等参数;而IKE方式则由IKE自动协商生成这些参数,建议选择“IKE协商”。
◆ IKE安全策略:选择所配置的IKE安全策略。
◆ 安全提议:选择配置的IPsec安全提议。
◆ PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,本地与对端的PFS属性必须一致。
◆ 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。
(5)IPsec 安全策略如下:

上海、广州分公司TL-R400vpn 配置方法:
一)、基本设置:
设置路由器的WAN口模式:网络参数→WAN口设置,根据需求设置WAN口连接类型,此处我们选择为“静态IP”,保存。

二)、IPsec VPN设置:
此处以配置北京分公司与深圳总公司间的IPsec VPN为例,首先配置深圳总公司的TL-ER6120:
(1)、配置IKE安全提议:VPN→IKE

点击“添加新条目”,选择合适的验证、加密算法以及DH组,需要与深圳总部TL-ER6120中的安全提议相同

上图中各个选项意义上文TL-ER6120中的意义相同。
点击保存,后生成一条安全策略列表信息

(2)、配置IPsec安全提议:VPN→IPsec

点击“添加单个条目”,填写页面中相应的内容。

在上图中:
安全策略名称:设置IPsec安全策略名称。
◆ 本地子网范围:设置本地子网范围,即北京分公司局域网“192.168.1.0 /24” 。
◆ 对端子网范围:设置对端子网范围,即深圳总公司局域网“192.168.0.0 /24” 。
◆ 对端网关:填写对端IPsec VPN服务器的IP地址或者域名,此处为深圳总公司TL-ER6120 WAN口IP地址“121.1.1.2” 。
◆ 协商方式:协商方式分为IKE协商和手动模式两种,手动模式需要用户手工配置密钥、SPI等参数;而IKE方式则由IKE自动协商生成这些参数,建议选择“IKE协商”。
◆ 安全协议:选择配置的IPsec安全协议。
◆ IKE安全策略:选择所配置的IKE安全策略。
◆ PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,本地与对端的PFS属性必须一致。
◆ 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。
配置完成后点击保存,在IPsec安全策略信息中出现一个条目:

IPsec功能中,点击启用>保存
配置完成,IPsec安全联盟建立成功后,北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0 /24 ”间可相互访问。
IPSEC VPN配置实例的更多相关文章
- ASA IPSEC VPN配置
ASA-1配置 : Saved:ASA Version 8.0(2) !hostname ASA-1enable password 8Ry2YjIyt7RRXU24 encryptednames!in ...
- cisco路由器IPSEC VPN配置(隧道模式)
拓扑如下: R1配置hostname R1enable password cisco crypto isakmp policy 1 #创建IKE协商策略,编号为1 encr 3des ...
- 跨云应用部署第一步:使用IPSEC VPN连接AWS中国版和Windows Azure中国版
随着公有云的普及,越来越多的客户将关键应用迁移到云端.但是事实证明,没有哪家云服务提供商可以提供100%的SLA,无论是例行维护还是意外中断服务,对于客户的关键应用而言,都会受到不同程度的影响.此外, ...
- Azure Site to Site VPN 配置手册
目录 1 Azure Site to Site VPN配置前的准备 1 1.1 设备兼容 1 1.2 网络要求和注意事项 1 2 配置Azure site t ...
- 利用开源软件strongSwan实现支持IKEv2的企业级IPsec VPN,并结合FreeRadius实现AAA协议(下篇)
续篇—— 利用开源软件strongSwan实现支持IKEv2的企业级IPsec VPN,并结合FreeRadius实现AAA协议(上篇) 上篇文章写了如何构建一个支持IKEv2的VPN,本篇记录的是如 ...
- windows7 自带l2tp/ipsec VPN客户端连接Cisco ASA
搞了半天,最后发现其实很简单,在ASA默认配置的基础上,把所有crypto ipsec ikev1 transform-set 加上mode transport,然后把tunnel-group Def ...
- 架设基于StrongSwan的L2tp/IPSec VPN服务器
架设基于StrongSwan的L2tp/IPSec VPN服务器 参考: http://agit8.turbulent.ca/bwp/2011/01/setting-up-a-vpn-server-w ...
- PPTPD/L2TP/IPSec VPN一键安装包 For CentOS 6
一.一键安装PPTPD VPN 本教程适用于Openv VPS.Xen VPS或者KVM VPS. 1.首先运行如下命令: cat /dev/net/tun 返回的必须是: cat: /dev/net ...
- 如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN
本站的 Rio 最近在一台 Ubuntu 和一台 Debian 主机上配置了 L2TP / IPSec VPN,并在自己的博客上做了记录.原文以英文写就,我把它大致翻译了一下,结合我和 Rio 在设置 ...
随机推荐
- Java的I/O总结
概念:Java语言中数据流是接收和发送数据的管道.流是一位单项的. 流的分类: 按照字节字符:InputStream和OutputStream是字节输入输出流的抽象父类.Reader和Writer是字 ...
- VLAN学习
IEEE于1999年颁布了标准化VLAN实现方案的 IEEE 802.1Q 协议标准草案,对带有VLAN标识的报文结构进行了统一规定. 传统的以太网数据帧在目的MAC和源MAC地址之后封装的是上层协议 ...
- Chapter 16_4 私密性
在Lua面向对象编程的基础设计当中,没有提供私密性机制.但是可以用其他方法实现,从而获得对象的访问控制. 这种实现不常用,作为兴趣爱好,只做基本了解. 基本做法是:通过两个table来表示一个对象.一 ...
- Smarty练习增删改
<?php //将题目表显示在页面 include("../init.inc.php"); include("../DBDA.php"); $db = n ...
- Objective-C 2.0属性(Property)介绍
通常在声明一些成员变量时会看到如下声明方式: @property (参数1,参数2) 类型 名字: 这里我们主要分析在括号中放入的参数,主要有以下三种: setter/getter方法(assign/ ...
- Strusts2--课程笔记4
类型转换器: Struts2默认情况下可以将表单中输入的文本数据转换为相应的基本数据类型.这个功能的实现,主要是由于Struts2内置了类型转换器.这些转换器在struts-default.xml中可 ...
- HttpClient的get和post方式提交数据的使用
/** * Http工具类 */ public class HttpUtil { // 创建HttpClient对象 public static HttpClient httpClient = new ...
- mysql 中 SQL_CALC_FOUND_ROWS 功能
mysql 数据库不符合sql标准的地方不少,比如TIMESTAMP列的处理,字符串比较默认大小写不敏感什么的.有时候这些问题会让你很郁闷,尤其是对从其它数据库转过来的人来说.但有些功能倒也蛮有趣. ...
- ECOS-认证地址
ECOS系统授权认证,需要和Shopex认证中心互联.当服务器DNS无效时.需要绑定host强行解析服务器强行解析以下vim /etc/hosts 122.144.135.142 service.sh ...
- Mac下截图快捷键
Cmd+Shift+3:全屏截图:截取整个屏幕,保存截图至桌面文件夹.Cmd+Shift+4:区域截图:鼠标光标变成带坐标的小十字,通过拖拽截取特定区域,保存截图至桌面文件夹.Cmd+Shift+4 ...