企业路由器应用 IPSecV\/P\/N\/ PC到站点配置【图文】

2020-05-22 08:50:32 编辑小周

原标题:"企业路由器应用 IPSecV\/P\/N\/ PC到站点配置【图文】"关于路由器的常识分享。 - 素材来源网络 编辑:kaka。

概述

随着企业业务日益扩大,移动办公的需求越来越明显,办公人员需要在远离企业总部的任何一个地方都要能方便、安全的连接到总部处理与业务相关的任何事情,例如家庭办公、出差员工远程办公等。但在网络安全威胁日益严重的今天,移动办公系统的安全更是一个不容忽视的重要问题。

TP-LINK提供的IPsecV\/P\/N\/PC到站点解决方案能很好的满足移动性的要求,而且相比于PPTP/L2TP,IPsecV\/P\/N\/PC到站点解决方案提供更高的安全性。

需求推荐

某企业总企业位于深圳,经常还有员工出差到全国各地,现需要组建一个网络,出差员工都能够安全的访问企业内部邮件服务器和文件服务器,本文将以TL-ER6120为例来展示IPSecV\/P\/N\/PC到站点解决方案的配置过程。

配置IPSecV\/P\/N\/PC到站点,在PC上需要使用第三方IPSEC客户端,本文以“TheGreenBowV\/P\/N\/Client”为例

网络拓扑

总部配置IPSEC PC到站点隧道,出差员工采用IPSEC客户端连接总部。

设置步骤

先配置总部路由器上的IPSEC PC到站点隧道。

1. 配置IKE安全提议:V\/P\/N\/→IKE,进入“IKE安全提议”标签页,抉择合适的验证、加密算法以及DH组并点击“新增”。

2. 配置IKE安全策略:V\/P\/N\/→IKE,进入“IKE安全策略”标签页。

l ID类型:身份认证的类型,为便于处于NAT下面的客户端正常连上路由器,建议抉择NAME。

l 安全提议:抉择在“IKE安全提议”中创建的安全提议名称。

l 预共享密钥:设置IKE认证的预共享密钥,通信双方的预共享密钥必须相同。

l DPD检测:Dead Peer Detect,检测对端在线状态,建议启用。

3. 配置IPsec安全提议:VPN→IPsec,进入“IPsec安全提议”标签页,输入IPsec安全提议名称,抉择合适的安全协议以及验证算法并点击“新增”。

4. 配置IPsec安全策略:V\/P\/N\/→IPsec,进入“IPsec安全策略”标签页。

l 安全策略名称:设置IPsec安全策略名称。

l 组网模式:设置连接到路由器的对端为PC或站点,此处为“PC到站点”

l 当地子网范围:设置当地子网范围,即深圳总部局域网“192.168.1.0 /24” 。

l 对端主机:客户机无固定IP地址故保持默认的0.0.0.0 。

l 协商方式:协商方式分为IKE协商和手动模式两种,手动模式需要用户手工配置密钥、SPI等参数;而IKE方式则由IKE自动协商生成这些参数,本文使用的客户端仅支撑IKE协商。

l IKE安全策略:抉择所配置的IKE安全策略。

l 安全提议:抉择配置的IPsec安全提议。

l PFS: 用于IKE协商方式下设置IPsec会话密钥的PFS属性,当地与对端的PFS属性必须一致。

l 生存时间 :用于IKE协商方式下IPsec会话密钥的生存时间。

设置好后点击“新增”,此时深圳总部的路由器已配置完毕。接下载配置移动办公人员的客户端。

5. 安装客户端:下载我司路由器IPSECV\/P\/N\/客户端App“TheGreenBowV\/P\/N\/Client”并安装。

一路点击“下一步”即可安装完成,安装完成后需要重启计算机。

6. 运行客户端并打开配置界面:重启计算机后客户端会自动运行,或者双击桌面的快捷方式亦可。初度运行客户端需要激活App,此App为收费App,可以点击“购买许可”来激活,授权费用约为5许可189欧元,10许可349欧元。亦可点击“我要评估App”进行30天使用。成功运行后界面如下:

右击状态栏的客户端图标并点击“配置面板”即可开始配置。

7. 配置客户端第一阶段:点击第一阶段面板“tgbtest”进入第一阶段配置“验证”标签页。

l 远端网关:路由器开启PC到站点IPsecV\/P\/N\/的WAN口IP或域名。

l 预共享密钥:第一阶段IKE协商的预共享密钥,与总部路由器“IKE安全策略”中相同。

l IKE:IKE安全策略,与与总部路由器“IKE安全策略”中相同。

进入“高级”标签页,设置当地及远端ID,ID类型跟路由器中相同,都为NAME,此处叫“DNS”,填写ID数值,总部路由器和客户端的“当地ID”和“远端ID”的数值需要互换。

慎重声明:本文版权归原编辑所有,转载文章仅为传播更多信息之目的,如编辑信息标记有误,请第一时间联系我们修改或删除,多谢。