\"配置指南：TL-ER7520G IPSec VPN 设置详解\"

IPSec VPN是一种常用的安全协议，用于在两个站点之间建立安全的通信隧道。下面将以某公司北京总部与广州分部搭建安全隧道为例，详细介绍使用TL-ER7520G路由器搭建IPSec VPN的设置方法。
首先，我们需要了解VPN隧道搭建的基本原理。VPN隧道通过加密数据包，确保数据在传输过程中的安全性。本文将根据不同场景，分别介绍搭建IPSec VPN的具体步骤。
### 类型一：总部和分部都使用TL-ER7520G
在这种情况下，确保总部和分部的路由器均连接宽带上网正常。以下是详细设置步骤：
1. 设置总部路由器的IPSec安全策略： - 进入“VPN > IPSec > IPSec安全策略”页面，点击“添加”按钮。 - 选择连接宽带的接口作为绑定接口。 - 其他设置保持默认，保存设置并点击“保存配置”。
2. 设置分部路由器的IPSec安全策略： - 分部路由器的安全策略应与总部策略对应，设置方法同总部。 - 保存设置并点击“保存配置”。
3. IPSec隧道建立成功： - 在“IPSec > IPSec安全策略”页面，安全联盟中有对应隧道条目，表明IPSec隧道建立成功。
### 类型二：总部使用TL-ER7520G，分部使用其他型号的VPN路由器
1. 设置总部路由器的IPSec安全策略： - 进入“VPN > IPSec > IPSec安全策略”页面，点击“添加”按钮。 - 设置完成后保存配置。
2. 记录高级设置参数： - 点击“高级设置”，查看默认的安全提议和参数，并记录下来。 - 这些参数将用于配置对端路由器。
3. 设置分部路由器的IPSec安全策略： - 分部路由器的安全策略需与总部对应，主要关注阶段一和阶段二的参数。 - 根据不同厂家的路由器设置方法，参考相应的配置指南进行设置。
### 类型三：总部或分部的路由器作为二级路由器使用
在这种情况下，需要特别注意以下设置：
- 交换模式设置为“野蛮模式”。 - 本地/对端ID类型选择“NAME”。 - NAT下的路由器设置为初始者模式，对端为响应者模式。 - 对端网关设置为二级路由器前端路由器的WAN口ip地址。
详细的设置方法可以参考《企业路由器跨NAT的IPSec VPN配置实例》。
总之，无论是哪种类型的网络环境，搭建IPSec VPN隧道都需要仔细配置安全策略和参数。在配置过程中，建议保持总部与分部的高级设置参数一致，以便自动协商最优级别的加密。如果配置完成后安全隧道无法建立，可以参考相关解决方案进行排查。

应用介绍

IPSec VPN可以用于建立两个站点之间的安全隧道，经常用于企业总部和分支机构的网络对接。本文以某公司北京总部与广州分部需要搭建安全隧道为例，介绍使用TL-ER7520G搭建IPSec VPN的设置方法。

注意：以上参数仅供举例，配置时请以实际网络参数为准。

设置方法

根据站点使用的路由器和组网方式不同，我们按照以下分类介绍各情况下的设置方法：

类型一. 总部和分部都使用TL-ER7520G

该类型下，确保总部和分部的路由器均连接宽带上网正常，按照以下方法配置VPN隧道：

1、设置总部路由器的IPSec安全策略

进入 VPN > IPSec > IPSec安全策略，点击，设置如下：

绑定接口：即总部使用哪个接口与分部对接，请选择连接宽带的接口。

其他设置保持默认，保存设置并点击界面右上角 保存配置。

2、设置分部路由器的IPSec安全策略

分部IPSec安全策略恰好与总部策略对应，设置如下：

保存设置并点击界面右上角 保存配置。

注意：总部与分部的高级设置建议保持为默认的设置，会自动协商最优级别的加密。

3、IPSec隧道建立成功

在 IPSec > IPSec安全策略，安全联盟中有对应隧道条目，表明IPSec隧道建立成功，如下图：

至此，总部与分部的IPSec安全隧道建立成功，两端内网均可以访问对端资源。如果有多个分部需要与总部建立IPSec隧道，请按照以上方法，分别在总部和分部配置对应的安全策略即可。

如果配置完成但安全隧道无法建立，请参考《IPSec设置完成后隧道无法建立的解决办法》

类型二. 总部使用TL-ER7520G、分部使用其他型号的VPN路由器

1、设置总部路由器的IPSec安全策略

进入 VPN > IPSec > IPSec安全策略，点击，设置如下：

设置完成后保存配置。

2、记录高级设置参数

总部与分部需要成功搭建隧道，必须要配置一致的安全认证协议和参数。由于TL-ER7520G预置相关安全参数，则只需要点击高级设置，查看默认的安全提议和参数，后续方便在对端路由器上进行配置。点击高级设置并记录对应参数，如下：

3、设置分部路由器的IPSec安全策略

分部的路由器需要设置与总部对应的安全策略，主要是阶段一（IKE）和阶段二（IPSec）的参数需要一致，且IPSec安全策略中的网络参数相对应。

由于各个厂家的路由器设置方法有所差异，请以实际配置界面为准，此处不作介绍。如果您使用的是我司VPN路由器，那么设置方法请参考《企业路由器IPSec VPN配置方法指导》。

类型三、总部或分部的路由器当做二级路由器使用

如果总部或分部的路由器当做二级路由器使用，也就是路由器前端还有路由器，那么设置IPSec VPN的时候需要注意，请将部分参数设置为：

交换模式-野蛮模式

本地/对端ID类型：NAME

NAT下的路由器为初始者模式，对端为响应者模式。

对端网关：对端网关为二级路由器前端路由器的WAN口IP地址。

详细设置请参考：《企业路由器跨NAT的IPSec VPN配置实例》