TL-ER6120是TP-LINK專為企業應用而開發的VPN路由器，具備強大的數據處理能力，并且支持豐富的軟件功能，包括VPN、IP/MAC 地址綁定、常見攻擊防護、訪問控制列表、QQ/MSN/迅雷/金融軟件限制、IP帶寬控制、連接數限制及電子公告等功能，適合企業、小區、酒店等組建安全、高效、易管理的網絡。

TL-R400vpn是TP-LINK專為企業分支機構接入IPSEC vpn網絡而開發的專用VPN路由器，支持5條IPSec VPN隧道，支持IP與MAC綁定，有效防范ARP攻擊，支持DoS攻擊防護，有效抵御各類廣域網的網絡攻擊，支持帶寬控制，靈活控制用戶帶寬，支持訪問控制策略，可基于IP/MAC地址限定主機上網權限。

需求介紹

某公司總公司位于深圳，在北京、上海兩地有分公司，現需要組建一個網絡，達到三個機構能資源共享的目的，本文將通過一個實例來展示TL-ER6120與TL-R400vpn的解決方案和配置過程。

網絡規劃

深圳總公司局域網網段為“192.168.0.0/24”； 北京分公司為“192.168.1.0/24”； 上海分公司為“192.168.2.0/24”；

深圳總部TL-ER6120設置步驟：

一）、基本設置：

1、設置路由器的WAN口模式：基本設置→WAN口設置，進入“WAN口模式”標簽頁，根據需求設置WAN口數量，此處我們選擇為“單WAN口”，保存。

2、設置WAN口網絡參數：基本設置→WAN口設置，“WAN1設置”標簽頁，設置WAN口網絡參數以及該線路的上下行帶寬值。

注意：請如實填寫線路的上行與下行帶寬值。

二）、IPsec VPN設置：

此處以配置北京分公司與深圳總公司間的IPsec VPN為例，首先配置深圳總公司的TL-ER6120：

（1）、配置IKE安全提議：VPN→IKE，進入“IKE安全提議”標簽頁，選擇合適的驗證、加密算法以及DH組。

（2）、配置IKE安全策略：VPN→IKE，進入“IKE安全策略”標簽頁。

◆ 協商模式：主模式（Main mode）適用于對身份保護要求較高的場合；野蠻模式（Aggressive mode）適用于對身份保護要求較低的場合，推薦使用主模式。

◆ 安全提議：選擇在“IKE安全提議”中創建的安全提議名稱。

◆ 預共享密鑰：設置IKE認證的預共享密鑰，通信雙方的預共享密鑰必須相同。

◆ DPD檢測：Dead Peer Detect，檢測對端在線狀態，建議啟用。

（3）、配置IPsec安全提議：VPN→IPsec，進入“IPsec安全提議”標簽頁，輸入IPsec安全提議名稱，選擇合適的安全協議以及驗證算法。

（4）、配置IPsec安全策略：VPN→IPsec，進入“IPsec安全策略”標簽頁。

◆ 安全策略名稱：設置IPsec安全策略名稱。

◆ 本地子網范圍：設置本地子網范圍，即深圳總公司局域網“192.168.0.0 /24” 。

◆ 對端子網范圍：設置對端子網范圍，即北京分公司局域網“192.168.1.0 /24” 。

◆ 對端網關：填寫對端IPsec VPN服務器的IP地址或者域名，此處為北京分公司TL-R400vpn WAN口IP地址“121.10.10.2” 。

◆ 協商方式：協商方式分為IKE協商和手動模式兩種，手動模式需要用戶手工配置密鑰、SPI等參數；而IKE方式則由IKE自動協商生成這些參數，建議選擇“IKE協商”。

◆ IKE安全策略：選擇所配置的IKE安全策略。

◆ 安全提議：選擇配置的IPsec安全提議。

◆ PFS： 用于IKE協商方式下設置IPsec會話密鑰的PFS屬性，本地與對端的PFS屬性必須一致。

◆ 生存時間 ：用于IKE協商方式下IPsec會話密鑰的生存時間。

（5）IPsec 安全策略如下：

上海、廣州分公司TL-R400vpn 配置方法：

一）、基本設置：

設置路由器的WAN口模式：網絡參數→WAN口設置，根據需求設置WAN口連接類型，此處我們選擇為“靜態IP”，保存。

二）、IPsec VPN設置：

此處以配置北京分公司與深圳總公司間的IPsec VPN為例，首先配置深圳總公司的TL-ER6120：

（1）、配置IKE安全提議：VPN→IKE

點擊“添加新條目”，選擇合適的驗證、加密算法以及DH組，需要與深圳總部TL-ER6120中的安全提議相同。

上圖中各個選項意義上文TL-ER6120中的意義相同。

點擊保存，后生成一條安全策略列表信息

（2）、配置IPsec安全提議：VPN→IPsec

點擊“添加單個條目”，填寫頁面中相應的內容。

在上圖中：

安全策略名稱：設置IPsec安全策略名稱。

◆ 本地子網范圍：設置本地子網范圍，即北京分公司局域網“192.168.1.0 /24” 。

◆ 對端子網范圍：設置對端子網范圍，即深圳總公司局域網“192.168.0.0 /24” 。

◆ 對端網關：填寫對端IPsec VPN服務器的IP地址或者域名，此處為深圳總公司TL-ER6120 WAN口IP地址“121.1.1.2” 。

◆ 協商方式：協商方式分為IKE協商和手動模式兩種，手動模式需要用戶手工配置密鑰、SPI等參數；而IKE方式則由IKE自動協商生成這些參數，建議選擇“IKE協商”。

◆ 安全協議：選擇配置的IPsec安全協議。

◆ IKE安全策略：選擇所配置的IKE安全策略。

◆ PFS： 用于IKE協商方式下設置IPsec會話密鑰的PFS屬性，本地與對端的PFS屬性必須一致。

◆ 生存時間 ：用于IKE協商方式下IPsec會話密鑰的生存時間。

配置完成后點擊保存，在IPsec安全策略信息中出現一個條目：

IPsec功能中，點擊啟用>保存

配置完成，IPsec安全聯盟建立成功后，北京分公司的局域網“192.168.1.0/24”與深圳總公司局域網“192.168.0.0 /24 ”間可相互訪問。