TP- LINK企业级vp路由器ipsec场景与实施（主模式）

工作中最近用了很多TP的企业级vp路由器，正好几个项目需要组网，用了几种方法，查了一些官方资料，加上自己总结的一些注意事项及实施方法。

应用场景分类：

一、企业和多个分支之间建立。双方均有固定公网IP，这个最简单，主模式和野蛮模式均支持。

某公司总公司位于深圳，在北京、上海两地有分公司，现需要组建一个网络，达到三个机构能资源共享的目的，本文将通过一个实例来展示TL-ER3220G（总部）与TL-R479GPE-AC VP（分公司）的解决方案和配置过程。

深圳总公司局域网网段为“192.168.0.0/24”； 北京分公司为“192.168.1.0/24”； 上海分公司为“192.168.2.0/24”。

具体实施（官网的文档）：

IPsec VP设置

此处以配置北京分公司与深圳总公司间的IPsec VP为例，首先配置深圳总公司的TL-ER3220G：

(1) 配置IPsec安全策略基本设置

VP>> IPsec，进入IPsec安全策略 标签页，点击新增。

这里最主要是交换模式：

主模式要求双方都有公网IP或域名，可以采用esp和ah加密，数据安全性高。

野蛮模式只要求其中一方有公网IP和域名即可，只能采用esp加密。

【参数含义】

A. 策略名称：设置IPsec安全策略名称。

B. 对端网关：填写对端IPsec VP站点的IP地址或者域名，假设此处北京分公司TL-R479GPE-AC WAN口IP地址为“121.1.1.3” 。

   此处的域名也可以是ddns,像花生壳、3322等都可以。但不支持wan口为内网IP的，花生壳的内网穿透也是不行的。

由于一般总部都有公网IP，所以总部都为响应者模式，等待客户端发起连接（感兴趣流），所以这个地方可以填分部的内网IP，或者全0都可以的。

C. 绑定接口：从下拉列表中指定TL-ER3220G的外网接口；对端北京的路由器设置的"对端网关地址"必须与该接口的IP地址相同。

 这个接口要对应上面的IP和域名。就是选那个wan口就写那个IP或域名。

D. 本地子网范围：设置本地子网范围，即深圳总公司局域网“192.168.0.0 /24” 。

路由器LAN口的网段，支持多个LAN网段中的一个网段，不一定是主lan口网段，可以是设置的vlan网段。

例，此路由器有2个网段，一个是本身的lan网段，一个是划分的vlan网段，（设置多个vlan网段的方法见多网段划分）。

E. 对端子网范围：设置对端子网范围，即北京分公司局域网“192.168.1.0 /24” 。

同上，也是可以多个lan网段中的一个。

F. 预共享密钥：设置IKE认证的预共享密钥，通信双方的预共享密钥必须相同。

这个只要双方一样即可。

G. 状态：勾选“启用”，当前策略生效。

(2) 配置IPsec安全策略高级设置

在基本设置完成后，点击高级设置，包括两个部分：阶段1设置和阶段2设置。一般情况下，不需要配置高级设置，采用默认值即可。

1) 阶段一设置：设定IKEv1的第一阶段的相关参数。

【参数含义】

A. 安全提议：选择合适的的IPsec安全提议，注意需要与对端保持一致。

B. 交换模式：主模式（Main mode）适用于对身份保护要求较高的场合；野蛮模式（Aggressive mode）适用于对身份保护要求较低的场合，推荐使用主模式。

         主模式要求一方都有公网IP或域名，可以采用esp和ah加密，数据安全性高。

         野蛮模式只要求其中一方有公网IP和域名即可，只能采用esp加密。

C. 协商模式：初始者模式会主动向对端发起连接，此时要求对端网关是路由可达，而响应者模式仅仅会等待对端发起连接。

初始者模式为没有公网IP的一端，因为主动发起连接（或叫感兴趣流）。

响应者械为有公网IP的一端。

D. 本地ID类型：作为对端的身份标识，支持两种类型：IP地址和NAME，默认选择"IP地址",如果选择NAME类型，则需要输入任意的字符串。

这里要注意，华为的主模式只支持双方均有公网IP的场景，且只能选择IP地址做为ID。

野蛮模式，下可以使用name做为ID。

我用的是NAME，name只需要双方设置一样即可，没有要求。

E. 生存时间 ：用于IKE协商方式下IPsec会话密钥的生存时间。

F. DPD检测：Dead Peer Detect，检测对端在线状态，建议启用。

2) 阶段2设置：设定IKEv1的第二阶段的相关参数

【参数含义】

A. 封装模式：指定该策略是隧道模式还是传输模式，两者的区别在于：前者会在原始IP报文外多增加一个IP头，后者则不会。

一般都要选隧道模式，传输模式用于路由器和路由器之间，没有下连PC。

隧道模式：数据发送的双方不是路由器。数据发送者的IP地址不能在公网被路由。

传输模式：数据发送的双方是路由器，数据发送者的IP地址可以在公网被路由。

B. 安全提议：选择IKEv1第二阶段合适的的IPsec安全提议，注意需要与对端保持一致。

C. PFS： 用于IKE协商方式下设置IPsec会话密钥的PFS属性，本地与对端的PFS属性必须一致。

D. 生存时间 ：用于IKE协商方式下IPsec会话密钥的生存时间。

二、上海、北京分公司TL-R479GPE-AC VP配置方法

2、IPsec VP设置

此处以配置北京分公司的TL-R479GPE-AC的IPsec VP功能为例。

（1）配置IPsec安全策略基本设置：打开VP >> IPsec 页面。

点击 新增，进行基本设置配置，填写策略名称、对端网关，选择绑定接口、填写本地子网范围、对段子网范围、预共享密码（与深圳总部相同的密钥），勾选启用。

上图中各个选项意义上文TL-ER3220G中的意义相同。点击确定，生成IPsec条目。

（2）配置IPsec安全策略高级设置：VP >> IPsec

点击 高级设置，进行IKEv1阶段1和阶段2配置。如果总部保持的默认配置，分部也保存默认配置即可，如果总部做了修改，则分部应保持一致。

配置完成后点击确定，在IPsec安全策略列表中会出现一个条目：

配置完成，IPsec安全联盟建立成功后，可以在IPsec安全联盟中看到相应条目，北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0 /24 ”间可相互访问。