TPLINK IPSEC VPN企业应用配置实例Word文档下载推荐.docx

TPLINK IPSEC VPN企业应用配置实例Word文档下载推荐.docx

《TPLINK IPSEC VPN企业应用配置实例Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《TPLINK IPSEC VPN企业应用配置实例Word文档下载推荐.docx（10页珍藏版）》请在冰豆网上搜索。

TL-R479GPE-AC是TP-LINK专为企业分支机构接入IPSECVPN网络而开发的专用VPN路由器，支持10条IPSec 

VPN隧道，支持IP与MAC绑定，有效防范ARP攻击，支持DoS攻击防护，有效抵御各类广域网的网络攻击，支持带宽控制，灵活控制用户带宽，支持访问控制策略，可基于IP/MAC地址限定主机上网权限。

设置方法

一、深圳总部TL-ER3220G设置步骤

1、基本设置

（1） 

设置路由器的WAN口模式

基本设置>

>

WAN口设置，进入 

WAN口模式 

标签页，根据需求设置WAN口数量，此处我们保持默认为“双WAN口”。

（2） 

设置路由器的WAN口网络参数

WAN口设置，在WAN1设置 

标签页，设置WAN口网络参数以及该线路的上下行带宽值。

WAN2呢？

【提醒】VPN两端路由器WAN口中至少需要一端是公网IP，如没有公网IP则需要考虑NAT下的IPsec应用，请参考：

《[企业路由器应用]NAT下的IPSECVPN配置实例》。

2、IPsecVPN设置

此处以配置北京分公司与深圳总公司间的IPsecVPN为例，首先配置深圳总公司的TL-ER3220G：

配置IPsec安全策略基本设置

VPN 

IPsec，进入IPsec安全策略 

标签页，点击新增。

【参数含义】

A. 

策略名称：

设置IPsec安全策略名称。

B. 

对端网关：

填写对端IPsecVPN站点的IP地址或者域名，假设此处北京分公司TL-R479GPE-ACWAN口IP地址为“121.1.1.3” 

。

C. 

绑定接口：

从下拉列表中指定TL-ER3220G的外网接口；

对端北京的路由器设置的"

对端网关地址"

必须与该接口的IP地址相同。

D. 

本地子网范围：

设置本地子网范围，即深圳总公司局域网“192.168.0.0/24” 

E. 

对端子网范围：

设置对端子网范围，即北京分公司局域网“192.168.1.0/24” 

F. 

预共享密钥：

设置IKE认证的预共享密钥，通信双方的预共享密钥必须相同。

G. 

状态：

勾选“启用”，当前策略生效。

配置IPsec安全策略高级设置

在基本设置完成后，点击高级设置，包括两个部分：

阶段1设置和阶段2设置。

一般情况下，不需要配置高级设置，采用默认值即可。

1） 

阶段一设置：

设定IKEv1的第一阶段的相关参数。

安全提议：

选择合适的的IPsec安全提议，注意需要与对端保持一致。

交换模式：

主模式（Mainmode）适用于对身份保护要求较高的场合；

野蛮模式（Aggressivemode）适用于对身份保护要求较低的场合，推荐使用主模式。

协商模式：

初始者模式会主动向对端发起连接，此时要求对端网关是路由可达，而响应者模式仅仅会等待对端发起连接。

本地ID类型：

作为对端的身份标识，支持两种类型：

IP地址和NAME，默认选择"

IP地址"

如果选择NAME类型，则需要输入任意的字符串。

生存时间 

：

用于IKE协商方式下IPsec会话密钥的生存时间。

DPD检测：

DeadPeerDetect，检测对端在线状态，建议启用。

2） 

阶段2设置：

设定IKEv1的第二阶段的相关参数

封装模式：

指定该策略是隧道模式还是传输模式，两者的区别在于：

前者会在原始IP报文外多增加一个IP头，后者则不会。

选择IKEv1第二阶段合适的的IPsec安全提议，注意需要与对端保持一致。

PFS：

用于IKE协商方式下设置IPsec会话密钥的PFS属性，本地与对端的PFS属性必须一致。

二、上海、北京分公司TL-R479GPE-ACVPN 

配置方法

设置路由器的WAN口模式：

网络参数 

WAN口设置，根据需求设置WAN口连接类型，此处我们选择为 

静态IP，保存。

此处以配置北京分公司的TL-R479GPE-AC的IPsecVPN功能为例。

（1）配置IPsec安全策略基本设置：

打开VPN 

IPsec 

页面。

点击 

新增，进行基本设置配置，填写策略名称、对端网关，选择绑定接口、填写本地子网范围、对段子网范围、预共享密码（与深圳总部相同的密钥），勾选启用。

上图中各个选项意义上文TL-ER3220G中的意义相同。

点击确定，生成IPsec条目。

（2）配置IPsec安全策略高级设置：

IPsec

高级设置，进行IKEv1阶段1和阶段2配置。

如果总部保持的默认配置，分部也保存默认配置即可，如果总部做了修改，则分部应保持一致。

配置完成后点击确定，在IPsec安全策略列表中会出现一个条目：

配置完成，IPsec安全联盟建立成功后，可以在IPsec安全联盟中看到相应条目，北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0/24”间可相互访问。