需求或说明
1.1 适用产品系列 本案例适用于ER产品系列路由器:ER3260、ER3100、ER3200、ER5200等。
注意:ER6300、ER8300不支持IPSEC VPN。
1.2 配置需求及实现的效果 Router A和Router B均使用ER系列路由器,在两者之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.1.0/24)之间的数据流进行安全保护,实现2端子网终端通过IPsec VPN 隧道进行互访。
组网
配置步骤
3.1 基本连接
在路由器接口面板找到LAN接口,用网线将电脑和设备的任意一个LAN接口连在一起,电脑可以自动获取192.168.1.X/24网段的地址。电脑连接好路由器之后完成后打开浏览器,在浏览器地址栏中输入http://192.168.1.1登录设备管理界面。
3.2 登陆设备WEB界面
运行Web浏览器,在地址栏中输入http://192.168.1.1,如下图所示。
回车后跳转到Web登录页面,输入用户名、密码(缺省均为admin,区分大小写)以及验证码(不区分大小写),如下图所示。
单击【登录】按钮或直接回车后,您即可登录到路由器的Web设置页面,如下图所示。
注意:同一时间,路由器最多允许五个用户通过Web设置页面进行管理。
3.3 配置IPSEC VPN
3.3.1 配置IPSEC 虚接口
单击【VPN】--【VPN设置】--【虚接口】, 点击【新增】,绑定对应的WAN口,比如WAN1:
3.3.2 配置IKE安全提议
单击【VPN】--【VPN设置】--【IKE安全提议】,点击【新增】,配置IKE安全提议的各个参数:安全提议名称、IKE验证算法、IKE加密算法、IKE DH组,如下图配置。
3.3.3配置IKE对等体
单击【VPN】--【VPN设置】--【IKE对等体】,点击【新增】,配置IKE对等体:
对等体名称为ike、绑定虚接口为ipsec0(前面已经创建)、对端地址为Router B的公网ip,即192.100.100.19、协商模式选择主模式、安全提议选择ike(前面已经创建)、配置预共享秘钥,此处配置为123456(可根据自己需求自行设置)、其余选择默认即可。
3.3.4配置IPSEC安全提议
单击【VPN】--【VPN设置】---【IPSec安全提议】,,点击【新增】,配置IPSEC安全提议:安全提议名称、安全协议类型、ESP验证算法、ESP加密算法配置如下图:
3.3.5配置IPSEC安全策略
单击【VPN】--【VPN设置】--【IPSEC安全策略】,勾选启【用IPSEC功能】,点击【新增】,配置IPSEC安全策略:本地子网IP即为Router A内网网段,此处配置为192.168.1.0/24,对端子网IP即为Router B内网网段,此处配置为172.16.1.0/24,其余参数按照下图所示配置:
3.3.6配置去往对端子网的静态路由
单击【高级设置】--【路由设置】--【静态路由】,目的地址配置成对端子网,即172.16.1.0,子网掩码为255.255.255.0,出接口为ipsec0虚接口。
3.4 保存配置
设备默认会保存配置。对端设备可参照此配置。
