需求介绍
某公司总公司位于深圳,在北京、上海、广州三地有分公司,现需要组建一个网络,要求实现分公司都能够安全的访问公司内部邮件服务器和文件服务器,本文将通过一个实例来展示TL-ER6120的解决方案和配置过程。
网络规划
深圳总公司局域网网段为“192.168.0.0/24”; 北京分公司为“192.168.1.0/24”; 上海分公司为“192.168.2.0/24”; 广州分公司为“192.168.3.0/24”。
拓扑如下:
注意:不同分支机构内部局域网需位于不同网段,否则内网间无法实现互访。
设置步骤:
一)、基本设置:
1、设置路由器的WAN口模式:基本设置→WAN口设置,进入“WAN口模式”标签页,根据需求设置WAN口数量,此处我们选择为“单WAN口”,保存。
2、设置WAN口网络参数:基本设置→WAN口设置,“WAN1设置”标签页,设置WAN口网络参数以及该线路的上下行带宽值。
注意:请如实填写线路的上行与下行带宽值。
二)、IPsec VPN设置:
此处以配置北京分公司与深圳总公司间的IPsec VPN为例,首先配置北京分公司的TL-ER6120:
(1)、配置IKE安全提议:VPN→IKE,进入“IKE安全提议”标签页,选择合适的验证、加密算法以及DH组。
(2)、配置IKE安全策略:VPN→IKE,进入“IKE安全策略”标签页。
◆ 协商模式:主模式(Main mode)适用于对身份保护要求较高的场合;野蛮模式(Aggressive mode)适用于对身份保护要求较低的场合,推荐使用主模式。
◆ 安全提议:选择在“IKE安全提议”中创建的安全提议名称。
◆ 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。
◆ DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。
(3)、配置IPsec安全提议:VPN→IPsec,进入“IPsec安全提议”标签页,输入IPsec安全提议名称,选择合适的安全协议以及验证算法。
(4)、配置IPsec安全策略:VPN→IPsec,进入“IPsec安全策略”标签页。
◆ 安全策略名称:设置IPsec安全策略名称。
◆ 本地子网范围:设置本地子网范围,即北京分公司局域网“192.168.1.0 /24” 。
◆ 对端子网范围:设置对端子网范围,即深圳总公司局域网“192.168.0.0 /24” 。
◆ 对端网关:填写对端IPsec VPN服务器的IP地址或者域名,此处为深圳总公司TL-ER6120 WAN口IP地址“121.10.10.2” 。
◆ 协商方式:协商方式分为IKE协商和手动模式两种,手动模式需要用户手工配置密钥、SPI等参数;而IKE方式则由IKE自动协商生成这些参数,建议选择“IKE协商”。
◆ IKE安全策略:选择所配置的IKE安全策略。
◆ 安全提议:选择配置的IPsec安全提议。
◆ PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,本地与对端的PFS属性必须一致。
◆ 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。
北京分公司TL-ER6120已配置完毕,接下来配置深圳总公司的TL-ER6120。
(5)、配置深圳总公司TL-ER6120的IPsec VPN,其中“IKE安全提议”与“IPsec安全提议”需要与北京分公司TL-ER6120设置相同,此处不再赘述。
深圳总公司IPsec 安全策略如下:
配置完成,IPsec安全联盟建立成功后,北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0 /24 ”间可相互访问。
上海、广州分公司与深圳总公司间IPsec VPN配置方法相同。