TL-ER6120是TP-LINK專為企業(yè)應(yīng)用而開發(fā)的VPN路由器，具備強(qiáng)大的數(shù)據(jù)處理能力，并且支持豐富的軟件功能，包括VPN、IP/MAC 地址綁定、常見攻擊防護(hù)、訪問控制列表、QQ/MSN/迅雷/金融軟件限制、IP帶寬控制、連接數(shù)限制及電子公告等功能，適合企業(yè)、小區(qū)、酒店等組建安全、高效、易管理的網(wǎng)絡(luò)。

TL-R400vpn是TP-LINK專為企業(yè)分支機(jī)構(gòu)接入IPSEC vpn網(wǎng)絡(luò)而開發(fā)的專用VPN路由器，支持5條IPSec VPN隧道，支持IP與MAC綁定，有效防范ARP攻擊，支持DoS攻擊防護(hù)，有效抵御各類廣域網(wǎng)的網(wǎng)絡(luò)攻擊，支持帶寬控制，靈活控制用戶帶寬，支持訪問控制策略，可基于IP/MAC地址限定主機(jī)上網(wǎng)權(quán)限。

需求介紹

某公司總公司位于深圳，在北京、上海兩地有分公司，現(xiàn)需要組建一個(gè)網(wǎng)絡(luò)，達(dá)到三個(gè)機(jī)構(gòu)能資源共享的目的，本文將通過一個(gè)實(shí)例來展示TL-ER6120與TL-R400vpn的解決方案和配置過程。

網(wǎng)絡(luò)規(guī)劃

深圳總公司局域網(wǎng)網(wǎng)段為“192.168.0.0/24”； 北京分公司為“192.168.1.0/24”； 上海分公司為“192.168.2.0/24”；

深圳總部TL-ER6120設(shè)置步驟：

一）、基本設(shè)置：

1、設(shè)置路由器的WAN口模式：基本設(shè)置→WAN口設(shè)置，進(jìn)入“WAN口模式”標(biāo)簽頁，根據(jù)需求設(shè)置WAN口數(shù)量，此處我們選擇為“單WAN口”，保存。

2、設(shè)置WAN口網(wǎng)絡(luò)參數(shù)：基本設(shè)置→WAN口設(shè)置，“WAN1設(shè)置”標(biāo)簽頁，設(shè)置WAN口網(wǎng)絡(luò)參數(shù)以及該線路的上下行帶寬值。

注意：請(qǐng)如實(shí)填寫線路的上行與下行帶寬值。

二）、IPsec VPN設(shè)置：

此處以配置北京分公司與深圳總公司間的IPsec VPN為例，首先配置深圳總公司的TL-ER6120：

（1）、配置IKE安全提議：VPN→IKE，進(jìn)入“IKE安全提議”標(biāo)簽頁，選擇合適的驗(yàn)證、加密算法以及DH組。

（2）、配置IKE安全策略：VPN→IKE，進(jìn)入“IKE安全策略”標(biāo)簽頁。

◆ 協(xié)商模式：主模式（Main mode）適用于對(duì)身份保護(hù)要求較高的場(chǎng)合；野蠻模式（Aggressive mode）適用于對(duì)身份保護(hù)要求較低的場(chǎng)合，推薦使用主模式。

◆ 安全提議：選擇在“IKE安全提議”中創(chuàng)建的安全提議名稱。

◆ 預(yù)共享密鑰：設(shè)置IKE認(rèn)證的預(yù)共享密鑰，通信雙方的預(yù)共享密鑰必須相同。

◆ DPD檢測(cè)：Dead Peer Detect，檢測(cè)對(duì)端在線狀態(tài)，建議啟用。

（3）、配置IPsec安全提議：VPN→IPsec，進(jìn)入“IPsec安全提議”標(biāo)簽頁，輸入IPsec安全提議名稱，選擇合適的安全協(xié)議以及驗(yàn)證算法。

（4）、配置IPsec安全策略：VPN→IPsec，進(jìn)入“IPsec安全策略”標(biāo)簽頁。

◆ 安全策略名稱：設(shè)置IPsec安全策略名稱。

◆ 本地子網(wǎng)范圍：設(shè)置本地子網(wǎng)范圍，即深圳總公司局域網(wǎng)“192.168.0.0 /24” 。

◆ 對(duì)端子網(wǎng)范圍：設(shè)置對(duì)端子網(wǎng)范圍，即北京分公司局域網(wǎng)“192.168.1.0 /24” 。

◆ 對(duì)端網(wǎng)關(guān)：填寫對(duì)端IPsec VPN服務(wù)器的IP地址或者域名，此處為北京分公司TL-R400vpn WAN口IP地址“121.10.10.2” 。

◆ 協(xié)商方式：協(xié)商方式分為IKE協(xié)商和手動(dòng)模式兩種，手動(dòng)模式需要用戶手工配置密鑰、SPI等參數(shù)；而IKE方式則由IKE自動(dòng)協(xié)商生成這些參數(shù)，建議選擇“IKE協(xié)商”。

◆ IKE安全策略：選擇所配置的IKE安全策略。

◆ 安全提議：選擇配置的IPsec安全提議。

◆ PFS： 用于IKE協(xié)商方式下設(shè)置IPsec會(huì)話密鑰的PFS屬性，本地與對(duì)端的PFS屬性必須一致。

◆ 生存時(shí)間 ：用于IKE協(xié)商方式下IPsec會(huì)話密鑰的生存時(shí)間。

（5）IPsec 安全策略如下：

上海、廣州分公司TL-R400vpn 配置方法：

一）、基本設(shè)置：

設(shè)置路由器的WAN口模式：網(wǎng)絡(luò)參數(shù)→WAN口設(shè)置，根據(jù)需求設(shè)置WAN口連接類型，此處我們選擇為“靜態(tài)IP”，保存。

二）、IPsec VPN設(shè)置：

此處以配置北京分公司與深圳總公司間的IPsec VPN為例，首先配置深圳總公司的TL-ER6120：

（1）、配置IKE安全提議：VPN→IKE

點(diǎn)擊“添加新條目”，選擇合適的驗(yàn)證、加密算法以及DH組，需要與深圳總部TL-ER6120中的安全提議相同。

上圖中各個(gè)選項(xiàng)意義上文TL-ER6120中的意義相同。

點(diǎn)擊保存，后生成一條安全策略列表信息

（2）、配置IPsec安全提議：VPN→IPsec

點(diǎn)擊“添加單個(gè)條目”，填寫頁面中相應(yīng)的內(nèi)容。

在上圖中：

安全策略名稱：設(shè)置IPsec安全策略名稱。

◆ 本地子網(wǎng)范圍：設(shè)置本地子網(wǎng)范圍，即北京分公司局域網(wǎng)“192.168.1.0 /24” 。

◆ 對(duì)端子網(wǎng)范圍：設(shè)置對(duì)端子網(wǎng)范圍，即深圳總公司局域網(wǎng)“192.168.0.0 /24” 。

◆ 對(duì)端網(wǎng)關(guān)：填寫對(duì)端IPsec VPN服務(wù)器的IP地址或者域名，此處為深圳總公司TL-ER6120 WAN口IP地址“121.1.1.2” 。

◆ 協(xié)商方式：協(xié)商方式分為IKE協(xié)商和手動(dòng)模式兩種，手動(dòng)模式需要用戶手工配置密鑰、SPI等參數(shù)；而IKE方式則由IKE自動(dòng)協(xié)商生成這些參數(shù)，建議選擇“IKE協(xié)商”。

◆ 安全協(xié)議：選擇配置的IPsec安全協(xié)議。

◆ IKE安全策略：選擇所配置的IKE安全策略。

◆ PFS： 用于IKE協(xié)商方式下設(shè)置IPsec會(huì)話密鑰的PFS屬性，本地與對(duì)端的PFS屬性必須一致。

◆ 生存時(shí)間 ：用于IKE協(xié)商方式下IPsec會(huì)話密鑰的生存時(shí)間。

配置完成后點(diǎn)擊保存，在IPsec安全策略信息中出現(xiàn)一個(gè)條目：

IPsec功能中，點(diǎn)擊啟用>保存

配置完成，IPsec安全聯(lián)盟建立成功后，北京分公司的局域網(wǎng)“192.168.1.0/24”與深圳總公司局域網(wǎng)“192.168.0.0 /24 ”間可相互訪問。