TL-ER6110/6120,TL-WVR300是TP-LINK專為企業應用而開發的VPN路由器，具備強大的數據處理能力，并且支持豐富的軟件功能，包括VPN、IP/MAC 地址綁定、常見攻擊防護、訪問控制列表、QQ/MSN/迅雷/金融軟件限制、IP帶寬控制、連接數限制及電子公告等功能，適合企業、小區、酒店等組建安全、高效、易管理的網絡。

需求介紹

某公司總公司位于深圳，在北京、上海、廣州三地有分公司，現需要組建一個網絡，要求實現分公司都能夠安全的訪問公司內部郵件服務器和文件服務器，本文將通過一個實例來展示TL-ER6120的解決方案和配置過程。

網絡規劃

深圳總公司局域網網段為“192.168.0.0/24”； 北京分公司為“192.168.1.0/24”； 上海分公司為“192.168.2.0/24”； 廣州分公司為“192.168.3.0/24”。

拓撲如下：

注意：不同分支機構內部局域網需位于不同網段，否則內網間無法實現互訪。

設置步驟：

一）、基本設置：

1、設置路由器的WAN口模式：基本設置→WAN口設置，進入“WAN口模式”標簽頁，根據需求設置WAN口數量，此處我們選擇為“單WAN口”，保存。

2、設置WAN口網絡參數：基本設置→WAN口設置，“WAN1設置”標簽頁，設置WAN口網絡參數以及該線路的上下行帶寬值。

注意：請如實填寫線路的上行與下行帶寬值。

二）、IPsec VPN設置：

此處以配置北京分公司與深圳總公司間的IPsec VPN為例，首先配置北京分公司的TL-ER6120：

（1）、配置IKE安全提議：VPN→IKE，進入“IKE安全提議”標簽頁，選擇合適的驗證、加密算法以及DH組。

（2）、配置IKE安全策略：VPN→IKE，進入“IKE安全策略”標簽頁。

◆ 協商模式：主模式（Main mode）適用于對身份保護要求較高的場合；野蠻模式（Aggressive mode）適用于對身份保護要求較低的場合，推薦使用主模式。

◆ 安全提議：選擇在“IKE安全提議”中創建的安全提議名稱。

◆ 預共享密鑰：設置IKE認證的預共享密鑰，通信雙方的預共享密鑰必須相同。

◆ DPD檢測：Dead Peer Detect，檢測對端在線狀態，建議啟用。

（3）、配置IPsec安全提議：VPN→IPsec，進入“IPsec安全提議”標簽頁，輸入IPsec安全提議名稱，選擇合適的安全協議以及驗證算法。

（4）、配置IPsec安全策略：VPN→IPsec，進入“IPsec安全策略”標簽頁。

◆ 安全策略名稱：設置IPsec安全策略名稱。

◆ 本地子網范圍：設置本地子網范圍，即北京分公司局域網“192.168.1.0 /24” 。

◆ 對端子網范圍：設置對端子網范圍，即深圳總公司局域網“192.168.0.0 /24” 。

◆ 對端網關：填寫對端IPsec VPN服務器的IP地址或者域名，此處為深圳總公司TL-ER6120 WAN口IP地址“121.10.10.2” 。

◆ 協商方式：協商方式分為IKE協商和手動模式兩種，手動模式需要用戶手工配置密鑰、SPI等參數；而IKE方式則由IKE自動協商生成這些參數，建議選擇“IKE協商”。

◆ IKE安全策略：選擇所配置的IKE安全策略。

◆ 安全提議：選擇配置的IPsec安全提議。

◆ PFS： 用于IKE協商方式下設置IPsec會話密鑰的PFS屬性，本地與對端的PFS屬性必須一致。

◆ 生存時間 ：用于IKE協商方式下IPsec會話密鑰的生存時間。

北京分公司TL-ER6120已配置完畢，接下來配置深圳總公司的TL-ER6120。

（5）、配置深圳總公司TL-ER6120的IPsec VPN，其中“IKE安全提議”與“IPsec安全提議”需要與北京分公司TL-ER6120設置相同，此處不再贅述。

深圳總公司IPsec 安全策略如下：

配置完成，IPsec安全聯盟建立成功后，北京分公司的局域網“192.168.1.0/24”與深圳總公司局域網“192.168.0.0 /24 ”間可相互訪問。

上海、廣州分公司與深圳總公司間IPsec VPN配置方法相同。

通過上面的配置，各個分公司都能夠安全的訪問公司內部郵件服務器和文件服務器，并且各個分公司都能和總公司的局域網之間相互訪問。