TL-XTR10890易展Turbo版 IPsec VPN设置指南

应用介绍

TL-XTR10890易展Turbo版提供多类VPN功能。其中IPSec VPN可以实现企业站点之间搭建安全的数据传输通道,将接入Internet的企业分支机构与总部网络通过安全隧道互联,实现资源、信息共享。

需求介绍

某公司总公司位于深圳,在合肥有分公司,现需要组建一个网络,达到两个机构能资源共享的目的,本文将通过一个实例来展示TL-XTR10890易展Turbo版搭建IPSec VPN的解决方案和配置过程。

深圳总公司局域网网段为“192.168.0.0/24”,WAN口为公网IP183.15.15.15;合肥分公司为“192.168.1.0/24”,WAN口为公网IP183.15.15.30

设置方法

本节将分别介绍深圳总部TL-XTR10890易展Turbo版设置步骤和合肥分公司TTL-XTR10890易展Turbo VPN配置方法。

一、 深圳总部TL-XTR10890易展Turbo版设置步骤

注意:VPN两端路由器WAN口需要公网IP,如果VPN路由器的前端还有一级NAT设备,则需要通过设置虚拟服务器将UDP500UDP4500端口映射到公网。

1. 进入VPN设置页面,新增IPsec VPN服务

2. IPsec基本配置

参数说明:

(1) 策略名称:设置IPSec安全策略名称。

(2) 对端网关:填写对端IPSec VPN服务器的IP地址或者域名,此处为合肥分公司TL-XTR10890易展Turbo WANIP地址“183.15.15.30”

(3) 绑定接口:从下拉列表中指定本地使用的接口;对端网关设置的"对端网关地址"必须与该接口的IP地址相同。

(4) 本地子网范围:设置本地子网范围,即深圳总公司局域网“192.168.0.0 /24”

(5) 对端子网范围:设置对端子网范围,即北京分公司局域网“192.168.1.0 /24”

(6) 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。

(7) 状态:设置勾选启用时,当前策略生效。

3. IPsec高级设置

在基本设置完成后,还有高级设置。一般地,用户不需要配置高级设置,采用默认值即可,如下图:



参数说明:

(1) 阶段1设置:设定IKEv1的第一阶段的相关参数。

(2) 安全提议:选择合适的的IPSec安全提议,注意需要与对端保持一致。

(3) 交换模式:主模式(Main mode)适用于对身份保护要求较高的场合;野蛮模式(Aggressive mode)适用于对身份保护要求较低的场合,推荐使用主模式。

(4) 协商模式:初始者模式会主动向对端发起连接,此时要求对端网关是路由可达,而响应者模式仅仅会等待对端发起连接。

(5) 本地ID类型:作为对端的身份标识,支持两种类型:IP地址和NAME,默认选择"IP地址",如果选择NAME类型,则需要输入任意的字符串。

(6) 生存时间 :用于IKE协商方式下IPSec会话密钥的生存时间。

(7) DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。

(8) 阶段2设置:设定IKEv1的第二阶段的相关参数

(9) 安全提议:选择IKEv1第二阶段合适的的IPSec安全提议,注意需要与对端保持一致。

(10) PFS:用于IKE协商方式下设置IPSec会话密钥的PFS属性,本地与对端的PFS属性必须一致。

4. 设置完成后,VPN服务列表中产生对应条目

二、 合肥分公司TL-XTR10890易展Turbo VPN配置方法

当深圳总部的IPsec VPN配置完毕后,再配置合肥分公司的VPN

新增VPN服务,填写策略名称、对端网关,选择绑定接口、填写本地子网范围、对段子网范围、预共享密码需要与总部相同,如下图:

进行高级设置,如果总部保持的默认配置,分部也保存默认配置即可,如果总部做了修改,则分部应保持一致。本例中总部高级设置均为默认参数,且分部与总部web界面相同,此处不再展示。

设置完成后,VPN服务列表中产生对应条目,如下图: