上個文章介紹的主模式，實(shí)際應(yīng)用中最多的還是野蠻模式，因?yàn)楣W(wǎng)IP太貴啊，不是每個公司都有專線可以用。

實(shí)際應(yīng)用中普通家用寬帶也可以通過DDNS來實(shí)現(xiàn)ipsec,這里需要設(shè)置光貓為橋接模式，用路由器撥號。

電信和聯(lián)網(wǎng)好多還可以獲取到公網(wǎng)IP，移動全是內(nèi)網(wǎng)IP搞不了 。

橋接的方法好找，網(wǎng)上一大堆，但光貓的超級密碼現(xiàn)在都是動態(tài)了，這個不好搞，有關(guān)系或者大客戶一般都會給，我做的幾個項(xiàng)目都是問聯(lián)通和電信的安裝人員要的超級密碼，他們從后臺查的。

這是官網(wǎng)的資料：其中一端在NAT網(wǎng)關(guān)下，實(shí)際上就是家用寬帶或者有出口防火墻的下連路由器等。

TP官網(wǎng)還給出了雙方都在NAT設(shè)備下的解決方法，那個實(shí)現(xiàn)有點(diǎn)困難，原理就是做端口映射，話說我都能操作公網(wǎng)網(wǎng)關(guān)設(shè)備了為啥不在那個上面做ipsec，所以這個基本上沒啥用。

官方說明：新版本中如路由器搭建ipsec時ike協(xié)商模式為響應(yīng)者模式，且前端有nat設(shè)備，需在前端nat設(shè)備里做映射。（映射端口為500和4500）

某公司的辦事處設(shè)置在某寫字樓內(nèi)。該寫字樓有自己獨(dú)立的網(wǎng)絡(luò)結(jié)構(gòu)，并且使用同一個網(wǎng)絡(luò)出口連接互聯(lián)網(wǎng)。該辦事處需要與總部建立IPSEC VPN共享公司總部的網(wǎng)絡(luò)資源。

拓?fù)浣Y(jié)構(gòu)

TP-LINK解決方法

TP-LINK路由器通過在IPSEC協(xié)議中增加了NAT-T協(xié)議的支持，這樣路由器會自動發(fā)現(xiàn)網(wǎng)絡(luò)中的NAT設(shè)備，將數(shù)據(jù)包封裝到UDP包中，使VPN可以在NAT環(huán)境下使用。

總部設(shè)置：

?

IPsec VP設(shè)置

此處以配置北京分公司與深圳總公司間的IPsec VP為例，首先配置深圳總公司的TL-ER3220G：

(1)?總部配置IPsec安全策略基本設(shè)置

VP-N?>>?IPsec，進(jìn)入IPsec安全策略?標(biāo)簽頁，點(diǎn)擊新增。

1）?IKE的協(xié)商模式要選為野蠻模式

2）?在“IKE安全策略”的設(shè)置中，認(rèn)證ID必須選擇為NAME。

?

這里最主要是交換模式：

主模式要求雙方都有公網(wǎng)IP或域名，可以采用esp和ah加密，數(shù)據(jù)安全性高。

野蠻模式只要求其中一方有公網(wǎng)IP和域名即可，只能采用esp加密。

【參數(shù)含義】

A.?策略名稱：設(shè)置IPsec安全策略名稱。

B.?對端網(wǎng)關(guān)：填寫對端IPsec VP站點(diǎn)的IP地址或者域名，假設(shè)此處北京分公司TL-R479GPE-AC WAN口IP地址為“10.1.1.1”，

這個IP肯定是一個運(yùn)營商內(nèi)網(wǎng)IP?，此時就需要填寫0.0.0.0.(必須）否則就會無法正常建立連接。

? ?此處的域名也可以是ddns,像花生殼、3322等都可以。但不支持wan口為內(nèi)網(wǎng)IP的，花生殼的內(nèi)網(wǎng)穿透也是不行的。

注意：如果你要同多個分支點(diǎn)建立IPSEC，且多個分支都沒有公網(wǎng)IP，可以建立多條對端網(wǎng)關(guān)為“0.0.0.0”的策略，但要求“預(yù)共享密鑰，IKE協(xié)商參數(shù)要一致，即加密算法和驗(yàn)證算法及密鑰有效期都要一樣。

C.?綁定接口：從下拉列表中指定TL-ER3220G的外網(wǎng)接口；對端北京的路由器設(shè)置的"對端網(wǎng)關(guān)地址"必須與該接口的IP地址相同。

?這個接口要對應(yīng)上面的IP和域名。就是選那個wan口就寫那個IP或域名。

D.?本地子網(wǎng)范圍：設(shè)置本地子網(wǎng)范圍，即深圳總公司局域網(wǎng)“192.168.0.0 /24”?。

路由器LAN口的網(wǎng)段，支持多個LAN網(wǎng)段中的一個網(wǎng)段，不一定是主lan口網(wǎng)段，可以是設(shè)置的vlan網(wǎng)段。

例，此路由器有2個網(wǎng)段，一個是本身的lan網(wǎng)段，一個是劃分的vlan網(wǎng)段，（設(shè)置多個vlan網(wǎng)段的方法見多網(wǎng)段劃分）。

E.?對端子網(wǎng)范圍：設(shè)置對端子網(wǎng)范圍，即北京分公司局域網(wǎng)“192.168.1.0 /24”?。

同上，也是可以多個lan網(wǎng)段中的一個。

F.?預(yù)共享密鑰：設(shè)置IKE認(rèn)證的預(yù)共享密鑰，通信雙方的預(yù)共享密鑰必須相同。

這個只要雙方一樣即可。

G.?狀態(tài)：勾選“啟用”，當(dāng)前策略生效。

(2)?配置IPsec安全策略高級設(shè)置

在基本設(shè)置完成后，點(diǎn)擊高級設(shè)置，包括兩個部分：階段1設(shè)置和階段2設(shè)置。一般情況下，不需要配置高級設(shè)置，采用默認(rèn)值即可。

1)?階段一設(shè)置：設(shè)定IKEv1的第一階段的相關(guān)參數(shù)。

【參數(shù)含義】

A.?安全提議：選擇合適的的IPsec安全提議，注意需要與對端保持一致。

B.?交換模式：主模式（Main mode）適用于對身份保護(hù)要求較高的場合；野蠻模式（Aggressive mode）適用于對身份保護(hù)要求較低的場合，推薦使用主模式。

? ? ? ? ?主模式要求一方都有公網(wǎng)IP或域名，可以采用esp和ah加密，數(shù)據(jù)安全性高。

? ? ? ? ?野蠻模式只要求其中一方有公網(wǎng)IP和域名即可，只能采用esp加密。

C.?協(xié)商模式：初始者模式會主動向?qū)Χ税l(fā)起連接，此時要求對端網(wǎng)關(guān)是路由可達(dá)，而響應(yīng)者模式僅僅會等待對端發(fā)起連接。

初始者模式為沒有公網(wǎng)IP的一端，因?yàn)橹鲃影l(fā)起連接（或叫感興趣流）。

響應(yīng)者械為有公網(wǎng)IP的一端。

不同廠商叫法不一樣，銳捷的ipsec叫服務(wù)端（響應(yīng)者模式）和客戶端(初始者模式）。

D.?本地ID類型：作為對端的身份標(biāo)識，支持兩種類型：IP地址和NAME，默認(rèn)選擇"IP地址",如果選擇NAME類型，則需要輸入任意的字符串。

這里要注意，華為的主模式只支持雙方均有公網(wǎng)IP的場景，且只能選擇IP地址做為ID。

野蠻模式，下可以使用name做為ID。

我用的是NAME，name只需要雙方設(shè)置一樣即可，沒有要求。

E.?生存時間?：用于IKE協(xié)商方式下IPsec會話密鑰的生存時間。

F.?DPD檢測：Dead Peer Detect，檢測對端在線狀態(tài)，建議啟用。

2)?階段2設(shè)置：設(shè)定IKEv1的第二階段的相關(guān)參數(shù)

?由于NAT模型與IPSEC中的AH協(xié)議的設(shè)計(jì)理念是完全相違背的，所以，在選擇IPSEC協(xié)議的的時候，只能選擇ESP協(xié)議。

【參數(shù)含義】

A.?封裝模式：指定該策略是隧道模式還是傳輸模式，兩者的區(qū)別在于：前者會在原始IP報(bào)文外多增加一個IP頭，后者則不會。

一般都要選隧道模式，傳輸模式用于路由器和路由器之間，沒有下連PC。

隧道模式：數(shù)據(jù)發(fā)送點(diǎn)和數(shù)據(jù)加密點(diǎn)（一般為網(wǎng)關(guān)路由器）不相同。數(shù)據(jù)發(fā)送者的IP地址不能在公網(wǎng)被路由。

傳輸模式：數(shù)據(jù)發(fā)送點(diǎn)和數(shù)據(jù)加密點(diǎn)（一般為網(wǎng)關(guān)路由器）相同，數(shù)據(jù)發(fā)送者的IP地址可以在公網(wǎng)被路由。

B.?安全提議：選擇IKEv1第二階段合適的的IPsec安全提議，注意需要與對端保持一致。

C.?PFS：?用于IKE協(xié)商方式下設(shè)置IPsec會話密鑰的PFS屬性，本地與對端的PFS屬性必須一致。

D.?生存時間?：用于IKE協(xié)商方式下IPsec會話密鑰的生存時間。

分部設(shè)置：

1.點(diǎn)擊?新增，進(jìn)行基本設(shè)置配置，填寫策略名稱、對端網(wǎng)關(guān)，選擇綁定接口、填寫本地子網(wǎng)范圍、對段子網(wǎng)范圍、預(yù)共享密碼（與深圳總部相同的密鑰），勾選啟用。

（2）配置IPsec安全策略高級設(shè)置：VP-N?>>?IPsec

點(diǎn)擊?高級設(shè)置，進(jìn)行IKEv1階段1和階段2配置。如果總部保持的默認(rèn)配置，分部也保存默認(rèn)配置即可，如果總部做了修改，則分部應(yīng)保持一致。

設(shè)置完成。

配置完成后點(diǎn)擊確定，在IPsec安全策略列表中會出現(xiàn)一個條目：

配置完成，IPsec安全聯(lián)盟建立成功后，可以在IPsec安全聯(lián)盟中看到相應(yīng)條目，北京分公司的局域網(wǎng)“192.168.30.0/24”與深圳總公司局域網(wǎng)“192.168.7.0 /24 ”間可相互訪問。

兩條分支為內(nèi)網(wǎng)IP的IPSEC通道建立成功，其中39.149.21.18是動態(tài)獲取的，當(dāng)時斷開光貓重連時這個IP會變。

?

總結(jié)

以上是生活随笔為你收集整理的TP- LINK企业级vp-n路由器ipsec场景与实施（野蛮模式）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。