TL-ER6110/6120,TL-WVR300是TP-LINK專為企業(yè)應(yīng)用而開發(fā)的VPN路由器，具備強(qiáng)大的數(shù)據(jù)處理能力，并且支持豐富的軟件功能，包括VPN、IP/MAC 地址綁定、常見攻擊防護(hù)、訪問控制列表、QQ/MSN/迅雷/金融軟件限制、IP帶寬控制、連接數(shù)限制及電子公告等功能，適合企業(yè)、小區(qū)、酒店等組建安全、高效、易管理的網(wǎng)絡(luò)。

需求介紹

某公司總公司位于深圳，在北京、上海、廣州三地有分公司，現(xiàn)需要組建一個(gè)網(wǎng)絡(luò)，要求實(shí)現(xiàn)分公司都能夠安全的訪問公司內(nèi)部郵件服務(wù)器和文件服務(wù)器，本文將通過一個(gè)實(shí)例來展示TL-ER6120的解決方案和配置過程。

網(wǎng)絡(luò)規(guī)劃

深圳總公司局域網(wǎng)網(wǎng)段為“192.168.0.0/24”； 北京分公司為“192.168.1.0/24”； 上海分公司為“192.168.2.0/24”； 廣州分公司為“192.168.3.0/24”。

拓?fù)淙缦拢?

注意：不同分支機(jī)構(gòu)內(nèi)部局域網(wǎng)需位于不同網(wǎng)段，否則內(nèi)網(wǎng)間無法實(shí)現(xiàn)互訪。

設(shè)置步驟：

一）、基本設(shè)置：

1、設(shè)置路由器的WAN口模式：基本設(shè)置→WAN口設(shè)置，進(jìn)入“WAN口模式”標(biāo)簽頁，根據(jù)需求設(shè)置WAN口數(shù)量，此處我們選擇為“單WAN口”，保存。

2、設(shè)置WAN口網(wǎng)絡(luò)參數(shù)：基本設(shè)置→WAN口設(shè)置，“WAN1設(shè)置”標(biāo)簽頁，設(shè)置WAN口網(wǎng)絡(luò)參數(shù)以及該線路的上下行帶寬值。

注意：請如實(shí)填寫線路的上行與下行帶寬值。

二）、IPsec VPN設(shè)置：

此處以配置北京分公司與深圳總公司間的IPsec VPN為例，首先配置北京分公司的TL-ER6120：

（1）、配置IKE安全提議：VPN→IKE，進(jìn)入“IKE安全提議”標(biāo)簽頁，選擇合適的驗(yàn)證、加密算法以及DH組。

（2）、配置IKE安全策略：VPN→IKE，進(jìn)入“IKE安全策略”標(biāo)簽頁。

◆ 協(xié)商模式：主模式（Main mode）適用于對身份保護(hù)要求較高的場合；野蠻模式（Aggressive mode）適用于對身份保護(hù)要求較低的場合，推薦使用主模式。

◆ 安全提議：選擇在“IKE安全提議”中創(chuàng)建的安全提議名稱。

◆ 預(yù)共享密鑰：設(shè)置IKE認(rèn)證的預(yù)共享密鑰，通信雙方的預(yù)共享密鑰必須相同。

◆ DPD檢測：Dead Peer Detect，檢測對端在線狀態(tài)，建議啟用。

（3）、配置IPsec安全提議：VPN→IPsec，進(jìn)入“IPsec安全提議”標(biāo)簽頁，輸入IPsec安全提議名稱，選擇合適的安全協(xié)議以及驗(yàn)證算法。

（4）、配置IPsec安全策略：VPN→IPsec，進(jìn)入“IPsec安全策略”標(biāo)簽頁。

◆ 安全策略名稱：設(shè)置IPsec安全策略名稱。

◆ 本地子網(wǎng)范圍：設(shè)置本地子網(wǎng)范圍，即北京分公司局域網(wǎng)“192.168.1.0 /24” 。

◆ 對端子網(wǎng)范圍：設(shè)置對端子網(wǎng)范圍，即深圳總公司局域網(wǎng)“192.168.0.0 /24” 。

◆ 對端網(wǎng)關(guān)：填寫對端IPsec VPN服務(wù)器的IP地址或者域名，此處為深圳總公司TL-ER6120 WAN口IP地址“121.10.10.2” 。

◆ 協(xié)商方式：協(xié)商方式分為IKE協(xié)商和手動(dòng)模式兩種，手動(dòng)模式需要用戶手工配置密鑰、SPI等參數(shù)；而IKE方式則由IKE自動(dòng)協(xié)商生成這些參數(shù)，建議選擇“IKE協(xié)商”。

◆ IKE安全策略：選擇所配置的IKE安全策略。

◆ 安全提議：選擇配置的IPsec安全提議。

◆ PFS： 用于IKE協(xié)商方式下設(shè)置IPsec會(huì)話密鑰的PFS屬性，本地與對端的PFS屬性必須一致。

◆ 生存時(shí)間 ：用于IKE協(xié)商方式下IPsec會(huì)話密鑰的生存時(shí)間。

北京分公司TL-ER6120已配置完畢，接下來配置深圳總公司的TL-ER6120。

（5）、配置深圳總公司TL-ER6120的IPsec VPN，其中“IKE安全提議”與“IPsec安全提議”需要與北京分公司TL-ER6120設(shè)置相同，此處不再贅述。

深圳總公司IPsec 安全策略如下：

配置完成，IPsec安全聯(lián)盟建立成功后，北京分公司的局域網(wǎng)“192.168.1.0/24”與深圳總公司局域網(wǎng)“192.168.0.0 /24 ”間可相互訪問。

上海、廣州分公司與深圳總公司間IPsec VPN配置方法相同。

通過上面的配置，各個(gè)分公司都能夠安全的訪問公司內(nèi)部郵件服務(wù)器和文件服務(wù)器，并且各個(gè)分公司都能和總公司的局域網(wǎng)之間相互訪問。