[TL-ER7520G] IPSec VPN設置指南

日期2019-08-11 16:29:26

應用介紹

IPSec VPN可以用于建立兩個站點之間的安全隧道,經常用于企業總部和分支機構的網絡對接。本文以某公司北京總部與廣州分部需要搭建安全隧道為例,介紹使用TL-ER7520G搭建IPSec VPN的設置方法。

注意:以上參數僅供舉例,配置時請以實際網絡參數為準。


設置方法

根據站點使用的路由器和組網方式不同,我們按照以下分類介紹各情況下的設置方法:

類型一總部和分部都使用TL-ER7520G

該類型下,确保總部和分部的路由器均連接寬帶上網正常,按照以下方法配置VPN隧道:

1、設置總部路由器的IPSec安全策略

進入 VPN > IPSec > IPSec安全策略,點擊,設置如下:

綁定接口:即總部使用哪個接口與分部對接,請選擇連接寬帶的接口。

其他設置保持默認,保存設置并點擊界面右上角 保存配置

2、設置分部路由器的IPSec安全策略

分部IPSec安全策略恰好與總部策略對應,設置如下:

保存設置并點擊界面右上角 保存配置

注意:總部與分部的高級設置建議保持為默認的設置,會自動協商最優級别的加密。

3IPSec隧道建立成功

 IPSec > IPSec安全策略,安全聯盟中有對應隧道條目,表明IPSec隧道建立成功,如下圖:

至此,總部與分部的IPSec安全隧道建立成功,兩端内網均可以訪問對端資源。如果有多個分部需要與總部建立IPSec隧道,請按照以上方法,分别在總部和分部配置對應的安全策略即可。

如果配置完成但安全隧道無法建立,請參考《IPSec設置完成後隧道無法建立的解決辦法


類型二總部使用TL-ER7520G、分部使用其他型号的VPN路由器

1、設置總部路由器的IPSec安全策略

進入 VPN > IPSec > IPSec安全策略,點擊,設置如下:

設置完成後保存配置。

2、記錄高級設置參數

總部與分部需要成功搭建隧道,必須要配置一緻的安全認證協議和參數。由于TL-ER7520G預置相關安全參數,則隻需要點擊高級設置,查看默認的安全提議和參數,後續方便在對端路由器上進行配置。點擊高級設置并記錄對應參數,如下:


3、設置分部路由器的IPSec安全策略

分部的路由器需要設置與總部對應的安全策略,主要是階段一(IKE)和階段二(IPSec)的參數需要一緻,且IPSec安全策略中的網絡參數相對應。

由于各個廠家的路由器設置方法有所差異,請以實際配置界面為準,此處不作介紹。如果您使用的是我司VPN路由器,那麼設置方法請參考《企業路由器IPSec VPN配置方法指導》。



類型三、總部或分部的路由器當做二級路由器使用

如果總部或分部的路由器當做二級路由器使用,也就是路由器前端還有路由器,那麼設置IPSec VPN的時候需要注意,請将部分參數設置為:

交換模式-野蠻模式

本地/對端ID類型:NAME

NAT下的路由器為初始者模式,對端為響應者模式。

對端網關:對端網關為二級路由器前端路由器的WANIP地址。

詳細設置請參考:《企業路由器跨NATIPSec VPN配置實例