TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)

上个文章介绍的主模式,实际应用中最多的还是野蛮模式,因为公网IP太贵啊,不是每个公司都有专线可以用。

实际应用中普通家用宽带也可以通过DDNS来实现ipsec,这里需要设置光猫为桥接模式,用路由器拨号。

电信和联网好多还可以获取到公网IP,移动全是内网IP搞不了 。

桥接的方法好找,网上一大堆,但光猫的超级密码现在都是动态了,这个不好搞,有关系或者大客户一般都会给,我做的几个项目都是问联通和电信的安装人员要的超级密码,他们从后台查的。

这是官网的资料:其中一端在NAT网关下,实际上就是家用宽带或者有出口防火墙的下连路由器等。

TP官网还给出了双方都在NAT设备下的解决方法,那个实现有点困难,原理就是做端口映射,话说我都能操作公网网关设备了为啥不在那个上面做ipsec,所以这个基本上没啥用。

官方说明:新版本中如路由器搭建ipsecike协商模式为响应者模式,且前端有nat设备,需在前端nat设备里做映射。(映射端口为5004500

某公司的办事处设置在某写字楼内。该写字楼有自己独立的网络结构,并且使用同一个网络出口连接互联网。该办事处需要与总部建立IPSEC VPN共享公司总部的网络资源。

拓扑结构

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第1张图片

TP-LINK解决方法

TP-LINK路由器通过在IPSEC协议中增加了NAT-T协议的支持,这样路由器会自动发现网络中的NAT设备,将数据包封装到UDP包中,使VPN可以在NAT环境下使用。

总部设置:

 

IPsec VP设置

此处以配置北京分公司与深圳总公司间的IPsec VP为例,首先配置深圳总公司的TL-ER3220G:

(1) 总部配置IPsec安全策略基本设置

VP-N >> IPsec,进入IPsec安全策略 标签页,点击新增。

1) IKE的协商模式要选为野蛮模式

2) 在“IKE安全策略”的设置中,认证ID必须选择为NAME。

 

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第2张图片

这里最主要是交换模式:

主模式要求双方都有公网IP或域名,可以采用esp和ah加密,数据安全性高。

野蛮模式只要求其中一方有公网IP和域名即可,只能采用esp加密。

【参数含义】

A. 策略名称:设置IPsec安全策略名称。

B. 对端网关:填写对端IPsec VP站点的IP地址或者域名,假设此处北京分公司TL-R479GPE-AC WAN口IP地址为“10.1.1.1”,

这个IP肯定是一个运营商内网IP ,此时就需要填写0.0.0.0.(必须)否则就会无法正常建立连接。

   此处的域名也可以是ddns,像花生壳、3322等都可以。但不支持wan口为内网IP的,花生壳的内网穿透也是不行的。

注意:如果你要同多个分支点建立IPSEC,且多个分支都没有公网IP,可以建立多条对端网关为“0.0.0.0”的策略,但要求“预共享密钥,IKE协商参数要一致,即加密算法和验证算法及密钥有效期都要一样。

C. 绑定接口:从下拉列表中指定TL-ER3220G的外网接口;对端北京的路由器设置的"对端网关地址"必须与该接口的IP地址相同。

 这个接口要对应上面的IP和域名。就是选那个wan口就写那个IP或域名。

D. 本地子网范围:设置本地子网范围,即深圳总公司局域网“192.168.0.0 /24” 。

路由器LAN口的网段,支持多个LAN网段中的一个网段,不一定是主lan口网段,可以是设置的vlan网段。

例,此路由器有2个网段,一个是本身的lan网段,一个是划分的vlan网段,(设置多个vlan网段的方法见多网段划分)。

E. 对端子网范围:设置对端子网范围,即北京分公司局域网“192.168.1.0 /24” 。

同上,也是可以多个lan网段中的一个。

F. 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。

这个只要双方一样即可。

G. 状态:勾选“启用”,当前策略生效。

(2) 配置IPsec安全策略高级设置

在基本设置完成后,点击高级设置,包括两个部分:阶段1设置和阶段2设置。一般情况下,不需要配置高级设置,采用默认值即可。

1) 阶段一设置:设定IKEv1的第一阶段的相关参数。

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第3张图片

【参数含义】

A. 安全提议:选择合适的的IPsec安全提议,注意需要与对端保持一致。

B. 交换模式:主模式(Main mode)适用于对身份保护要求较高的场合;野蛮模式(Aggressive mode)适用于对身份保护要求较低的场合,推荐使用主模式。

         主模式要求一方都有公网IP或域名,可以采用esp和ah加密,数据安全性高。

         野蛮模式只要求其中一方有公网IP和域名即可,只能采用esp加密。

C. 协商模式:初始者模式会主动向对端发起连接,此时要求对端网关是路由可达,而响应者模式仅仅会等待对端发起连接。

初始者模式为没有公网IP的一端,因为主动发起连接(或叫感兴趣流)。

响应者械为有公网IP的一端。

不同厂商叫法不一样,锐捷的ipsec叫服务端(响应者模式)和客户端(初始者模式)。

D. 本地ID类型:作为对端的身份标识,支持两种类型:IP地址和NAME,默认选择"IP地址",如果选择NAME类型,则需要输入任意的字符串。

这里要注意,华为的主模式只支持双方均有公网IP的场景,且只能选择IP地址做为ID。

野蛮模式,下可以使用name做为ID。

我用的是NAME,name只需要双方设置一样即可,没有要求。

E. 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。

F. DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。

2) 阶段2设置:设定IKEv1的第二阶段的相关参数

 由于NAT模型与IPSEC中的AH协议的设计理念是完全相违背的,所以,在选择IPSEC协议的的时候,只能选择ESP协议。

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第4张图片

【参数含义】

A. 封装模式:指定该策略是隧道模式还是传输模式,两者的区别在于:前者会在原始IP报文外多增加一个IP头,后者则不会。

一般都要选隧道模式,传输模式用于路由器和路由器之间,没有下连PC。

隧道模式:数据发送点和数据加密点(一般为网关路由器)不相同。数据发送者的IP地址不能在公网被路由。

传输模式:数据发送点和数据加密点(一般为网关路由器)相同,数据发送者的IP地址可以在公网被路由。

B. 安全提议:选择IKEv1第二阶段合适的的IPsec安全提议,注意需要与对端保持一致。

C. PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,本地与对端的PFS属性必须一致。

D. 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。

分部设置:

1.点击 新增,进行基本设置配置,填写策略名称、对端网关,选择绑定接口、填写本地子网范围、对段子网范围、预共享密码(与深圳总部相同的密钥),勾选启用。

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第5张图片

2)配置IPsec安全策略高级设置:VP-N >> IPsec

点击 高级设置,进行IKEv1阶段1和阶段2配置。如果总部保持的默认配置,分部也保存默认配置即可,如果总部做了修改,则分部应保持一致。

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第6张图片

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第7张图片

设置完成。

配置完成后点击确定,在IPsec安全策略列表中会出现一个条目:

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第8张图片

配置完成,IPsec安全联盟建立成功后,可以在IPsec安全联盟中看到相应条目,北京分公司的局域网“192.168.30.0/24”与深圳总公司局域网“192.168.7.0 /24 ”间可相互访问。

两条分支为内网IP的IPSEC通道建立成功,其中39.149.21.18是动态获取的,当时断开光猫重连时这个IP会变。

TP- LINK企业级vp-n路由器ipsec场景与实施(野蛮模式)_第9张图片

 

你可能感兴趣的:(组网,网络,路由器,ipsec)