首先,我们需要选择合适的VPN路由器。对于总公司,建议使用具备强大数据处理能力和丰富软件功能的VPN路由器,如TL-ER3220G。而对于分公司,可以选择支持IPSec VPN网络接入的专用VPN路由器,如TL-R479GPE-AC。
在设备选型完成后,我们需要进行网络设置。首先,为各分支机构分配独立的局域网网段,如深圳总公司为192.168.0.0/24,北京分公司为192.168.1.0/24,上海分公司为192.168.2.0/24。接着,对总公司的VPN路由器进行基本设置,包括WAN口模式、WAN口网络参数等。特别需要注意的是,VPN两端路由器的WAN口中至少需要一端是公网IP,否则需要考虑NAT下的IPSec应用。
接下来,配置IPSec VPN安全策略。以北京分公司与深圳总公司之间的IPSec VPN为例,首先配置深圳总公司的TL-ER3220G。在IPSec VPN设置中,新增一条安全策略,填写策略名称、对端网关、绑定接口、本地子网范围、对段子网范围、预共享密钥等参数,并启用该策略。同时,可以配置高级设置,包括IKEv1第一阶段和第二阶段的相关参数。一般情况下,采用默认值即可。
然后,对北京分公司的TL-R479GPE-AC进行设置。同样地,在IPSec VPN设置中,新增一条安全策略,填写策略名称、对端网关、绑定接口、本地子网范围、对段子网范围、预共享密钥等参数,并启用该策略。高级设置与深圳总公司保持一致。
最后,配置完成后,检查IPSec安全联盟是否建立成功。如果成功,北京分公司的局域网192.168.1.0/24与深圳总公司局域网192.168.0.0/24之间可相互访问,实现资源共享和实时通信。
此外,为了提高网络安全性,还可以考虑以下措施:
1. 对各分支机构进行网络隔离,通过访问控制列表(ACL)限制不必要的跨网段访问。 2. 定期更新预共享密钥,增强VPN的安全性。 3. 监控网络流量,及时发现异常行为,防范潜在的网络攻击。 4. 对VPN设备进行定期维护,确保设备稳定运行。
通过以上措施,我们可以构建一个安全、高效、易管理的跨地区企业网络,满足企业资源共享和沟通的需求。
某公司总公司位于深圳,在北京、上海两地有分公司,现需要组建一个网络,达到三个机构能资源共享的目的,本文将通过一个实例来展示TL-ER3220G(总部)与TL-R479GPE-AC VPN(分公司)的解决方案和配置过程。
深圳总公司局域网网段为“192.168.0.0/24”; 北京分公司为“192.168.1.0/24”; 上海分公司为“192.168.2.0/24”。
TL-ER3220G是TP-LINK专为企业应用而开发的VPN路由器,具备强大的数据处理能力,并且支持丰富的软件功能,包括VPN、IP/MAC 地址绑定、常见攻击防护、访问控制列表、QQ/MSN/迅雷/金融软件限制、IP带宽控制、连接数限制等功能,适合企业、小区、酒店等组建安全、高效、易管理的网络。
TL-R479GPE-AC是TP-LINK专为企业分支机构接入IPSEC VPN网络而开发的专用VPN路由器,支持10条IPSec VPN隧道,支持IP与MAC绑定,有效防范ARP攻击,支持DoS攻击防护,有效抵御各类广域网的网络攻击,支持带宽控制,灵活控制用户带宽,支持访问控制策略,可基于IP/MAC地址限定主机上网权限。
一、深圳总部TL-ER3220G设置步骤
1、基本设置
(1) 设置路由器的WAN口模式
基本设置>> WAN口设置,进入 WAN口模式 标签页,根据需求设置WAN口数量,此处我们保持默认为“双WAN口”。
(2) 设置路由器的WAN口网络参数
基本设置>> WAN口设置,在WAN1设置 标签页,设置WAN口网络参数以及该线路的上下行带宽值。
WAN2呢?
【提醒】VPN两端路由器WAN口中至少需要一端是公网IP,如没有公网IP则需要考虑NAT下的IPsec应用,请参考:《[企业路由器应用] NAT下的IPSEC VPN配置实例》。
2、IPsec VPN设置
此处以配置北京分公司与深圳总公司间的IPsec VPN为例,首先配置深圳总公司的TL-ER3220G:
(1) 配置IPsec安全策略基本设置
VPN >> IPsec,进入IPsec安全策略 标签页,点击新增。
【参数含义】
A. 策略名称:设置IPsec安全策略名称。
B. 对端网关:填写对端IPsec VPN站点的IP地址或者域名,假设此处北京分公司TL-R479GPE-AC WAN口IP地址为“121.1.1.3” 。
C. 绑定接口:从下拉列表中指定TL-ER3220G的外网接口;对端北京的路由器设置的"对端网关地址"必须与该接口的IP地址相同。
D. 本地子网范围:设置本地子网范围,即深圳总公司局域网“192.168.0.0 /24” 。
E. 对端子网范围:设置对端子网范围,即北京分公司局域网“192.168.1.0 /24” 。
F. 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。
G. 状态:勾选“启用”,当前策略生效。
(2) 配置IPsec安全策略高级设置
在基本设置完成后,点击高级设置,包括两个部分:阶段1设置和阶段2设置。一般情况下,不需要配置高级设置,采用默认值即可。
1) 阶段一设置:设定IKEv1的第一阶段的相关参数。
【参数含义】
A. 安全提议:选择合适的的IPsec安全提议,注意需要与对端保持一致。
B. 交换模式:主模式(Main mode)适用于对身份保护要求较高的场合;野蛮模式(Aggressive mode)适用于对身份保护要求较低的场合,推荐使用主模式。
C. 协商模式:初始者模式会主动向对端发起连接,此时要求对端网关是路由可达,而响应者模式仅仅会等待对端发起连接。
D. 本地ID类型:作为对端的身份标识,支持两种类型:IP地址和NAME,默认选择"IP地址",如果选择NAME类型,则需要输入任意的字符串。
E. 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。
F. DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。
2) 阶段2设置:设定IKEv1的第二阶段的相关参数
【参数含义】
A. 封装模式:指定该策略是隧道模式还是传输模式,两者的区别在于:前者会在原始IP报文外多增加一个IP头,后者则不会。
B. 安全提议:选择IKEv1第二阶段合适的的IPsec安全提议,注意需要与对端保持一致。
C. PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,本地与对端的PFS属性必须一致。
D. 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。
二、上海、北京分公司TL-R479GPE-AC VPN 配置方法
1、基本设置
设置路由器的WAN口模式:网络参数 >> WAN口设置,根据需求设置WAN口连接类型,此处我们选择为 静态IP,保存。
2、IPsec VPN设置
此处以配置北京分公司的TL-R479GPE-AC的IPsec VPN功能为例。
(1)配置IPsec安全策略基本设置:打开VPN >> IPsec 页面。
点击 新增,进行基本设置配置,填写策略名称、对端网关,选择绑定接口、填写本地子网范围、对段子网范围、预共享密码(与深圳总部相同的密钥),勾选启用。
上图中各个选项意义上文TL-ER3220G中的意义相同。点击确定,生成IPsec条目。
(2)配置IPsec安全策略高级设置:VPN >> IPsec
点击 高级设置,进行IKEv1阶段1和阶段2配置。如果总部保持的默认配置,分部也保存默认配置即可,如果总部做了修改,则分部应保持一致。
配置完成后点击确定,在IPsec安全策略列表中会出现一个条目:
配置完成,IPsec安全联盟建立成功后,可以在IPsec安全联盟中看到相应条目,北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0 /24 ”间可相互访问。
