企业路由器应用 IPSecV\\/P\\/N\\/ PC到站点配置【图文】

原标题：\”企业路由器应用 IPSecV\\/P\\/N\\/ PC到站点配置【图文】\”关于路由器的知识分享。 – 素材来源网络 编辑:kaka。概述随着企业业务日益扩大，移动办公的需求越来越明显，办公人员需要在远离公司总部的任何一个地方都要能方便、安全的连接到总部处理与业务相关的任何事情，例如家庭办公、出差员工远程办公等。但在网络安全威胁日益严重的今天，移动办公系统的安全更是一个不容忽视的重要问题。TP-LINK提供的IPsecV\\/P\\/N\\/PC到站点解决方案能很好的满足移动性的要求，而且相比于PPTP/L2TP，IPsecV\\/P\\/N\\/PC到站点解决方案提供更高的安全性。需求介绍某公司总公司位于深圳，经常还有员工出差到全国各地，现需要组建一个网络，出差员工都能够安全的访问公司内部邮件服务器和文件服务器，本文将以TL-ER6120为例来展示IPSecV\\/P\\/N\\/PC到站点解决方案的配置过程。配置IPSecV\\/P\\/N\\/PC到站点，在PC上需要使用第三方IPSEC客户端，本文以“TheGreenBowV\\/P\\/N\\/Client”为例网络拓扑总部配置IPSEC PC到站点隧道，出差员工采用IPSEC客户端连接总部。设置步骤先配置总部路由器上的IPSEC PC到站点隧道。1. 配置IKE安全提议：V\\/P\\/N\\/→IKE，进入“IKE安全提议”标签页，选择合适的验证、加密算法以及DH组并点击“新增”。2. 配置IKE安全策略：V\\/P\\/N\\/→IKE，进入“IKE安全策略”标签页。l ID类型：身份认证的类型，为便于处于NAT下面的客户端正常连上路由器，建议选择NAME。l 安全提议：选择在“IKE安全提议”中创建的安全提议名称。l 预共享密钥：设置IKE认证的预共享密钥，通信双方的预共享密钥必须相同。l DPD检测：Dead Peer Detect，检测对端在线状态，建议启用。3. 配置IPsec安全提议：VPN→IPsec，进入“IPsec安全提议”标签页，输入IPsec安全提议名称，选择合适的安全协议以及验证算法并点击“新增”。4. 配置IPsec安全策略：V\\/P\\/N\\/→IPsec，进入“IPsec安全策略”标签页。l 安全策略名称：设置IPsec安全策略名称。l 组网模式：设置连接到路由器的对端为PC或站点，此处为“PC到站点”l 本地子网范围：设置本地子网范围，即深圳总部局域网“192.168.1.0 /24” 。l 对端主机：客户机无固定IP地址故保持默认的0.0.0.0 。l 协商方式：协商方式分为IKE协商和手动模式两种，手动模式需要用户手工配置密钥、SPI等参数;而IKE方式则由IKE自动协商生成这些参数，本文使用的客户端仅支持IKE协商。l IKE安全策略：选择所配置的IKE安全策略。l 安全提议：选择配置的IPsec安全提议。l PFS： 用于IKE协商方式下设置IPsec会话密钥的PFS属性，本地与对端的PFS属性必须一致。l 生存时间 ：用于IKE协商方式下IPsec会话密钥的生存时间。设置好后点击“新增”，此时深圳总部的路由器已配置完毕。接下载配置移动办公人员的客户端。5. 安装客户端：下载我司路由器IPSECV\\/P\\/N\\/客户端软件“TheGreenBowV\\/P\\/N\\/Client”并安装。一路点击“下一步”即可安装完成，安装完成后需要重启计算机。6. 运行客户端并打开配置界面：重启计算机后客户端会自动运行，或者双击桌面的快捷方式亦可。首次运行客户端需要激活软件，此软件为收费软件，可以点击“购买许可”来激活，授权费用约为5许可189欧元，10许可349欧元。亦可点击“我要评估软件”进行30天使用。成功运行后界面如下：右击状态栏的客户端图标并点击“配置面板”即可开始配置。7. 配置客户端第一阶段：点击第一阶段面板“tgbtest”进入第一阶段配置“验证”标签页。l 远端网关：路由器开启PC到站点IPsecV\\/P\\/N\\/的WAN口IP或域名。l 预共享密钥：第一阶段IKE协商的预共享密钥，与总部路由器“IKE安全策略”中相同。l IKE：IKE安全策略，与与总部路由器“IKE安全策略”中相同。进入“高级”标签页，设置本地及远端ID，ID类型跟路由器中相同，都为NAME，此处叫“DNS”，填写ID数值，总部路由器和客户端的“本地ID”和“远端ID”的数值需要互换。