TP- LINK企业级vp路由器ipsec场景与实施(主模式)

2023-10-29 15:31

本文主要是介绍TP- LINK企业级vp路由器ipsec场景与实施(主模式),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

工作中最近用了很多TP的企业级vp路由器,正好几个项目需要组网,用了几种方法,查了一些官方资料,加上自己总结的一些注意事项及实施方法。

应用场景分类:

一、企业和多个分支之间建立。双方均有固定公网IP,这个最简单,主模式和野蛮模式均支持。

某公司总公司位于深圳,在北京、上海两地有分公司,现需要组建一个网络,达到三个机构能资源共享的目的,本文将通过一个实例来展示TL-ER3220G(总部)与TL-R479GPE-AC VP(分公司)的解决方案和配置过程。

深圳总公司局域网网段为“192.168.0.0/24”; 北京分公司为“192.168.1.0/24”; 上海分公司为“192.168.2.0/24”。

IPsec

具体实施(官网的文档):

IPsec VP设置

此处以配置北京分公司与深圳总公司间的IPsec VP为例,首先配置深圳总公司的TL-ER3220G:

(1) 配置IPsec安全策略基本设置

VP>> IPsec,进入IPsec安全策略 标签页,点击新增。

这里最主要是交换模式:

主模式要求双方都有公网IP或域名,可以采用esp和ah加密,数据安全性高。

野蛮模式只要求其中一方有公网IP和域名即可,只能采用esp加密。

【参数含义】

A. 策略名称:设置IPsec安全策略名称。

B. 对端网关:填写对端IPsec VP站点的IP地址或者域名,假设此处北京分公司TL-R479GPE-AC WAN口IP地址为“121.1.1.3” 。

   此处的域名也可以是ddns,像花生壳、3322等都可以。但不支持wan口为内网IP的,花生壳的内网穿透也是不行的。

由于一般总部都有公网IP,所以总部都为响应者模式,等待客户端发起连接(感兴趣流),所以这个地方可以填分部的内网IP,或者全0都可以的。

C. 绑定接口:从下拉列表中指定TL-ER3220G的外网接口;对端北京的路由器设置的"对端网关地址"必须与该接口的IP地址相同。

 这个接口要对应上面的IP和域名。就是选那个wan口就写那个IP或域名。

D. 本地子网范围:设置本地子网范围,即深圳总公司局域网“192.168.0.0 /24” 。

路由器LAN口的网段,支持多个LAN网段中的一个网段,不一定是主lan口网段,可以是设置的vlan网段。

例,此路由器有2个网段,一个是本身的lan网段,一个是划分的vlan网段,(设置多个vlan网段的方法见多网段划分)。

E. 对端子网范围:设置对端子网范围,即北京分公司局域网“192.168.1.0 /24” 。

同上,也是可以多个lan网段中的一个。

F. 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。

这个只要双方一样即可。

G. 状态:勾选“启用”,当前策略生效。

(2) 配置IPsec安全策略高级设置

在基本设置完成后,点击高级设置,包括两个部分:阶段1设置和阶段2设置。一般情况下,不需要配置高级设置,采用默认值即可。

1) 阶段一设置:设定IKEv1的第一阶段的相关参数。

【参数含义】

A. 安全提议:选择合适的的IPsec安全提议,注意需要与对端保持一致。

B. 交换模式:主模式(Main mode)适用于对身份保护要求较高的场合;野蛮模式(Aggressive mode)适用于对身份保护要求较低的场合,推荐使用主模式。

         主模式要求一方都有公网IP或域名,可以采用esp和ah加密,数据安全性高。

         野蛮模式只要求其中一方有公网IP和域名即可,只能采用esp加密。

C. 协商模式:初始者模式会主动向对端发起连接,此时要求对端网关是路由可达,而响应者模式仅仅会等待对端发起连接。

初始者模式为没有公网IP的一端,因为主动发起连接(或叫感兴趣流)。

响应者械为有公网IP的一端。

D. 本地ID类型:作为对端的身份标识,支持两种类型:IP地址和NAME,默认选择"IP地址",如果选择NAME类型,则需要输入任意的字符串。

这里要注意,华为的主模式只支持双方均有公网IP的场景,且只能选择IP地址做为ID。

野蛮模式,下可以使用name做为ID。

我用的是NAME,name只需要双方设置一样即可,没有要求。

E. 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。

F. DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。

2) 阶段2设置:设定IKEv1的第二阶段的相关参数

【参数含义】

A. 封装模式:指定该策略是隧道模式还是传输模式,两者的区别在于:前者会在原始IP报文外多增加一个IP头,后者则不会。

一般都要选隧道模式,传输模式用于路由器和路由器之间,没有下连PC。

隧道模式:数据发送的双方不是路由器。数据发送者的IP地址不能在公网被路由。

传输模式:数据发送的双方是路由器,数据发送者的IP地址可以在公网被路由。

B. 安全提议:选择IKEv1第二阶段合适的的IPsec安全提议,注意需要与对端保持一致。

C. PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,本地与对端的PFS属性必须一致。

D. 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。

二、上海、北京分公司TL-R479GPE-AC VP配置方法

2、IPsec VP设置

此处以配置北京分公司的TL-R479GPE-AC的IPsec VP功能为例。

1)配置IPsec安全策略基本设置:打开VP >> IPsec 页面。

点击 新增,进行基本设置配置,填写策略名称、对端网关,选择绑定接口、填写本地子网范围、对段子网范围、预共享密码(与深圳总部相同的密钥),勾选启用。

 

上图中各个选项意义上文TL-ER3220G中的意义相同。点击确定,生成IPsec条目。

2)配置IPsec安全策略高级设置:VP >> IPsec

点击 高级设置,进行IKEv1阶段1和阶段2配置。如果总部保持的默认配置,分部也保存默认配置即可,如果总部做了修改,则分部应保持一致。

配置完成后点击确定,在IPsec安全策略列表中会出现一个条目:

配置完成,IPsec安全联盟建立成功后,可以在IPsec安全联盟中看到相应条目,北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0 /24 ”间可相互访问。

这篇关于TP- LINK企业级vp路由器ipsec场景与实施(主模式)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/301598

相关文章

Java中&和&&以及|和||的区别、应用场景和代码示例

《Java中&和&&以及|和||的区别、应用场景和代码示例》:本文主要介绍Java中的逻辑运算符&、&&、|和||的区别,包括它们在布尔和整数类型上的应用,文中通过代码介绍的非常详细,需要的朋友可... 目录前言1. & 和 &&代码示例2. | 和 ||代码示例3. 为什么要使用 & 和 | 而不是总是使

Java中Runnable和Callable的区别和联系及使用场景

《Java中Runnable和Callable的区别和联系及使用场景》Java多线程有两个重要的接口,Runnable和Callable,分别提供一个run方法和call方法,二者是有较大差异的,本文... 目录一、Runnable使用场景二、Callable的使用场景三、关于Future和FutureTa

WiFi6时代来临! 华三H3C NX54路由器还值得购买吗?

《WiFi6时代来临!华三H3CNX54路由器还值得购买吗?》WiFi6时代已经来临,众多路由器厂商也纷纷推出了兼容WiFi6协议的路由器,今天我们将深入体验H3CNX54路由器,这款由知名企业... 随着科技的发展,WiFi6逐渐走进了我们的日常生活之中,相比WiFi5来说,WiFi6拥有更高的带宽、更高

4G/5G全网通! FiberHome烽火5G CPE Air路由器拆机评测

《4G/5G全网通!FiberHome烽火5GCPEAir路由器拆机评测》烽火5GCPE已经使用一段时间了,很多朋友想要知道这款路由器怎么样?今天我们就来看看拆机测评... 我想大家都听说过、了解过5G。 5G是具有高速率、低时延和大连接特点的新一代宽带移动通信技术,5G通讯设施是实现人机物互联的网络基础设

JavaScript中的reduce方法执行过程、使用场景及进阶用法

《JavaScript中的reduce方法执行过程、使用场景及进阶用法》:本文主要介绍JavaScript中的reduce方法执行过程、使用场景及进阶用法的相关资料,reduce是JavaScri... 目录1. 什么是reduce2. reduce语法2.1 语法2.2 参数说明3. reduce执行过程

定价129元!支持双频 Wi-Fi 5的华为AX1路由器发布

《定价129元!支持双频Wi-Fi5的华为AX1路由器发布》华为上周推出了其最新的入门级Wi-Fi5路由器——华为路由AX1,建议零售价129元,这款路由器配置如何?详细请看下文介... 华为 Wi-Fi 5 路由 AX1 已正式开售,新品支持双频 1200 兆、配有四个千兆网口、提供可视化智能诊断功能,建

TP-Link PDDNS服将于务6月30日正式停运:用户需转向第三方DDNS服务

《TP-LinkPDDNS服将于务6月30日正式停运:用户需转向第三方DDNS服务》近期,路由器制造巨头普联(TP-Link)在用户群体中引发了一系列重要变动,上个月,公司发出了一则通知,明确要求所... 路由器厂商普联(TP-Link)上个月发布公告要求所有用户必须完成实名认证后才能继续使用普联提供的 D

JavaScript中的isTrusted属性及其应用场景详解

《JavaScript中的isTrusted属性及其应用场景详解》在现代Web开发中,JavaScript是构建交互式应用的核心语言,随着前端技术的不断发展,开发者需要处理越来越多的复杂场景,例如事件... 目录引言一、问题背景二、isTrusted 属性的来源与作用1. isTrusted 的定义2. 为

Python调用另一个py文件并传递参数常见的方法及其应用场景

《Python调用另一个py文件并传递参数常见的方法及其应用场景》:本文主要介绍在Python中调用另一个py文件并传递参数的几种常见方法,包括使用import语句、exec函数、subproce... 目录前言1. 使用import语句1.1 基本用法1.2 导入特定函数1.3 处理文件路径2. 使用ex

Linux alias的三种使用场景方式

《Linuxalias的三种使用场景方式》文章介绍了Linux中`alias`命令的三种使用场景:临时别名、用户级别别名和系统级别别名,临时别名仅在当前终端有效,用户级别别名在当前用户下所有终端有效... 目录linux alias三种使用场景一次性适用于当前用户全局生效,所有用户都可调用删除总结Linux