首先,确保总部和分部的路由器均连接宽带上网正常。接下来,按照以下步骤配置VPN隧道:
### 总部路由器配置
1. **设置IPSec安全策略**: - 进入路由器管理界面,选择“VPN > IPSec > IPSec安全策略”。 - 点击“添加”按钮,进入安全策略设置页面。 - **绑定接口**:选择连接宽带的接口。 - **本地ID**和**对端ID**:分别设置为总部的公网ip地址和分部的公网IP地址。 - **IKE阶段一**:选择“主模式”,加密算法和认证算法建议使用“AES-256”和“SHA-256”。 - **IKE阶段二**:选择“传输模式”,加密算法和认证算法同样建议使用“AES-256”和“SHA-256”。 - 保存设置,并点击界面右上角的“保存配置”。
2. **高级设置**: - 点击“高级设置”,查看并记录默认的安全提议和参数,这些参数将在分部路由器配置时使用。
### 分部路由器配置
1. **设置IPSec安全策略**: - 进入分部路由器管理界面,选择“VPN > IPSec > IPSec安全策略”。 - 点击“添加”按钮,进入安全策略设置页面。 - **绑定接口**:选择连接宽带的接口。 - **本地ID**和**对端ID**:分别设置为分部的公网IP地址和总部的公网IP地址。 - **IKE阶段一**和**IKE阶段二**的参数需要与总部路由器保持一致。
2. **高级设置**: - 点击“高级设置”,确保安全提议和参数与总部路由器记录的参数一致。
### 隧道验证
1. **检查安全联盟**: - 在总部和分部路由器的“IPSec安全策略”页面中,查看“安全联盟”是否有对应的隧道条目。 - 如果存在对应的隧道条目,表明IPSec隧道已成功建立。
2. **网络连通性测试**: - 在总部和分部的内网中,分别ping对方的内网IP地址,验证网络连通性。 - 如果能够成功ping通,说明隧道正常工作,两端内网可以互相访问资源。
### 注意事项
- **参数一致性**:总部和分部的IKE阶段一和阶段二参数必须一致,否则隧道无法建立。 - **安全设置**:建议使用高强度加密算法和认证算法,确保数据传输的安全性。 - **网络环境**:如果总部或分部的路由器作为二级路由器使用,需要调整相关参数,如交换模式设置为“野蛮模式”,本地/对端ID类型设置为“NAME”。
### 其他场景
对于总部使用TL-ER7520G,而分部使用其他型号VPN路由器的情况,配置思路类似,但需要参考分部路由器的具体配置界面和参数设置方法。通常,分部路由器的配置需要手动输入安全提议和参数,确保与总部路由器一致。
此外,如果遇到隧道无法建立的问题,可以检查以下方面: - 确认双方公网IP地址是否正确。 - 检查防火墙设置,确保IKE和IPSec协议的流量不被阻断。 - 查看路由器日志,获取详细的错误信息,有助于定位问题。
通过以上步骤,可以成功搭建总部与分部之间的IPSec VPN隧道,实现安全可靠的数据传输。对于多个分部需要与总部建立隧道的情况,只需按照上述方法,分别在总部和各分部配置对应的安全策略即可。
![[TL-ER7520G IPSec VPN配置教程]](https://www.datacomit.cn/uploadfile/ueditor/image/2025/02/3206627780383020790.png)
IPSec VPN可以用于建立两个站点之间的安全隧道,经常用于企业总部和分支机构的网络对接。本文以某公司北京总部与广州分部需要搭建安全隧道为例,介绍使用TL-ER7520G搭建IPSec VPN的设置方法。
注意:以上参数仅供举例,配置时请以实际网络参数为准。
设置方法
根据站点使用的路由器和组网方式不同,我们按照以下分类介绍各情况下的设置方法:
类型一. 总部和分部都使用TL-ER7520G
该类型下,确保总部和分部的路由器均连接宽带上网正常,按照以下方法配置VPN隧道:
1、设置总部路由器的IPSec安全策略
进入 VPN > IPSec > IPSec安全策略,点击
,设置如下:
绑定接口:即总部使用哪个接口与分部对接,请选择连接宽带的接口。
其他设置保持默认,保存设置并点击界面右上角 保存配置。
2、设置分部路由器的IPSec安全策略
分部IPSec安全策略恰好与总部策略对应,设置如下:
保存设置并点击界面右上角 保存配置。
注意:总部与分部的高级设置建议保持为默认的设置,会自动协商最优级别的加密。
3、IPSec隧道建立成功
在 IPSec > IPSec安全策略,安全联盟中有对应隧道条目,表明IPSec隧道建立成功,如下图:
至此,总部与分部的IPSec安全隧道建立成功,两端内网均可以访问对端资源。如果有多个分部需要与总部建立IPSec隧道,请按照以上方法,分别在总部和分部配置对应的安全策略即可。
如果配置完成但安全隧道无法建立,请参考《IPSec设置完成后隧道无法建立的解决办法》
类型二. 总部使用TL-ER7520G、分部使用其他型号的VPN路由器
1、设置总部路由器的IPSec安全策略
进入 VPN > IPSec > IPSec安全策略,点击
,设置如下:
设置完成后保存配置。
2、记录高级设置参数
总部与分部需要成功搭建隧道,必须要配置一致的安全认证协议和参数。由于TL-ER7520G预置相关安全参数,则只需要点击高级设置,查看默认的安全提议和参数,后续方便在对端路由器上进行配置。点击高级设置并记录对应参数,如下:
3、设置分部路由器的IPSec安全策略
分部的路由器需要设置与总部对应的安全策略,主要是阶段一(IKE)和阶段二(IPSec)的参数需要一致,且IPSec安全策略中的网络参数相对应。
由于各个厂家的路由器设置方法有所差异,请以实际配置界面为准,此处不作介绍。如果您使用的是我司VPN路由器,那么设置方法请参考《企业路由器IPSec VPN配置方法指导》。
类型三、总部或分部的路由器当做二级路由器使用
如果总部或分部的路由器当做二级路由器使用,也就是路由器前端还有路由器,那么设置IPSec VPN的时候需要注意,请将部分参数设置为:
交换模式-野蛮模式
本地/对端ID类型:NAME
NAT下的路由器为初始者模式,对端为响应者模式。
对端网关:对端网关为二级路由器前端路由器的WAN口IP地址。
