TL-ER6120是TP-LINK專為企業應用而開發的VPN路由器,具備強大的數據處理能力,並且支持豐富的軟件功能,包括VPN、IP/MAC 地址綁定、常見攻擊防護、訪問控制列表、QQ/MSN/迅雷/金融軟件限制、IP帶寬控制、連接數限制及電子公告等功能,適合企業、小區、酒店等組建安全、高效、易管理的網絡。
TL-R400vpn是TP-LINK專為企業分支機構接入IPSEC vpn網絡而開發的專用VPN路由器,支持5條IPSec VPN隧道,支持IP與MAC綁定,有效防範ARP攻擊,支持DoS攻擊防護,有效抵禦各類廣域網的網絡攻擊,支持帶寬控制,靈活控制用戶帶寬,支持訪問控制策略,可基於IP/MAC地址限定主機上網權限。
需求介紹
某公司總公司位於深圳,在北京、上海兩地有分公司,現需要組建一個網絡,達到三個機構能資源共享的目的,本文將通過一個實例來展示TL-ER6120與TL-R400vpn的解決方案和配置過程。
網絡規劃
深圳總公司局域網網段為“192.168.0.0/24”; 北京分公司為“192.168.1.0/24”; 上海分公司為“192.168.2.0/24”;
深圳總部TL-ER6120設置步驟:
一)、基本設置:
1、設置路由器的WAN口模式:基本設置→WAN口設置,進入“WAN口模式”標籤頁,根據需求設置WAN口數量,此處我們選擇為“單WAN口”,保存。
2、設置WAN口網絡參數:基本設置→WAN口設置,“WAN1設置”標籤頁,設置WAN口網絡參數以及該線路的上下行帶寬值。
注意:請如實填寫線路的上行與下行帶寬值。
二)、IPsec VPN設置:
此處以配置北京分公司與深圳總公司間的IPsec VPN為例,首先配置深圳總公司的TL-ER6120:
(1)、配置IKE安全提議:VPN→IKE,進入“IKE安全提議”標籤頁,選擇合適的驗證、加密算法以及DH組。
(2)、配置IKE安全策略:VPN→IKE,進入“IKE安全策略”標籤頁。
◆ 協商模式 :主模式(Main mode)適用於對身份保護要求較高的場合;野蠻模式(Aggressive mode)適用於對身份保護要求較低的場合,推薦使用主模式。
◆ 安全提議:選擇在“IKE安全提議”中創建的安全提議名稱。
◆ 預共享密鑰:設置IKE認證的預共享密鑰,通信雙方的預共享密鑰必須相同。
◆ DPD檢測:Dead Peer Detect,檢測對端在線狀態,建議啟用。
(3)、配置IPsec安全提議:VPN→IPsec,進入“IPsec安全提議”標籤頁,輸入IPsec安全提議名稱,選擇合適的安全協議以及驗證算法。
(4)、配置IPsec安全策略:VPN→IPsec,進入“IPsec安全策略”標籤頁。
◆ 安全策略名稱:設置IPsec安全策略名稱。
◆ 本地子網範圍:設置本地子網範圍,即深圳總公司局域網“192.168.0.0 /24” 。
◆ 對端子網範圍:設置對端子網範圍,即北京分公司局域網“192.168.1.0 /24” 。
◆ 對端網關:填寫對端IPsec VPN服務器的IP地址或者域名,此處為北京分公司TL-R400vpn WAN口IP地址“121.10.10.2” 。
◆ 協商方式:協商方式分為IKE協商和手動模式兩種,手動模式需要用戶手工配置密鑰、SPI等參數;而IKE方式則由IKE自動協商生成這些參數,建議選擇“IKE協商”。
◆ IKE安全策略:選擇所配置的IKE安全策略。
◆ 安全提議:選擇配置的IPsec安全提議。
◆ PFS : 用於IKE協商方式下設置IPsec會話密鑰的PFS屬性,本地與對端的PFS屬性必須一致。
◆ 生存時間 :用於IKE協商方式下IPsec會話密鑰的生存時間。
(5)IPsec 安全策略如下:
上海、廣州分公司TL-R400vpn 配置方法:
一)、基本設置:
設置路由器的WAN口模式:網絡參數→WAN口設置,根據需求設置WAN口連接類型,此處我們選擇為“靜態IP”,保存。
二)、IPsec VPN設置:
此處以配置北京分公司與深圳總公司間的IPsec VPN為例,首先配置深圳總公司的TL-ER6120:
(1)、配置IKE安全提議:VPN→IKE
點擊“添加新條目”,選擇合適的驗證、加密算法以及DH組,需要與深圳總部TL-ER6120中的安全提議相同。
上圖中各個選項意義上文TL-ER6120中的意義相同。
點擊保存,後生成一條安全策略列表信息
(2)、配置IPsec安全提議:VPN→IPsec
點擊“添加單個條目”,填寫頁面中相應的內容。
在上圖中:
安全策略名稱:設置IPsec安全策略名稱。
◆ 本地子網範圍:設置本地子網範圍,即北京分公司局域網“192.168.1.0 /24” 。
◆ 對端子網範圍:設置對端子網範圍,即深圳總公司局域網“192.168.0.0 /24” 。
◆ 對端網關:填寫對端IPsec VPN服務器的IP地址或者域名,此處為深圳總公司TL-ER6120 WAN口IP地址“121.1.1.2” 。
◆ 協商方式:協商方式分為IKE協商和手動模式兩種,手動模式需要用戶手工配置密鑰、SPI等參數;而IKE方式則由IKE自動協商生成這些參數,建議選擇“IKE協商”。
◆ 安全協議:選擇配置的IPsec安全協議。
◆ IKE安全策略:選擇所配置的IKE安全策略。
◆ PFS: 用於IKE協商方式下設置IPsec會話密鑰的PFS屬性,本地與對端的PFS屬性必須一致。
◆ 生存時間 :用於IKE協商方式下IPsec會話密鑰的生存時間。
配置完成後點擊保存,在IPsec安全策略信息中出現一個條目:
IPsec功能中,點擊啟用>保存
配置完成,IPsec安全聯盟建立成功後,北京分公司的局域網“192.168.1.0/24”與深圳總公司局域網“192.168.0.0 /24 ”間可相互訪問。
閱讀更多 IT下山 的文章
