上個文章介紹的主模式，實際應用中最多的還是野蠻模式，因為公網IP太貴啊，不是每個公司都有專線可以用。

實際應用中普通家用寬帶也可以通過DDNS來實現ipsec,這里需要設置光貓為橋接模式，用路由器撥號。

電信和聯網好多還可以獲取到公網IP，移動全是內網IP搞不了 。

橋接的方法好找，網上一大堆，但光貓的超級密碼現在都是動態了，這個不好搞，有關系或者大客戶一般都會給，我做的幾個項目都是問聯通和電信的安裝人員要的超級密碼，他們從后臺查的。

這是官網的資料：其中一端在NAT網關下，實際上就是家用寬帶或者有出口防火墻的下連路由器等。

TP官網還給出了雙方都在NAT設備下的解決方法，那個實現有點困難，原理就是做端口映射，話說我都能操作公網網關設備了為啥不在那個上面做ipsec，所以這個基本上沒啥用。

官方說明：新版本中如路由器搭建ipsec時ike協商模式為響應者模式，且前端有nat設備，需在前端nat設備里做映射。（映射端口為500和4500）

某公司的辦事處設置在某寫字樓內。該寫字樓有自己獨立的網絡結構，并且使用同一個網絡出口連接互聯網。該辦事處需要與總部建立IPSEC VPN共享公司總部的網絡資源。

拓撲結構

TP-LINK解決方法

TP-LINK路由器通過在IPSEC協議中增加了NAT-T協議的支持，這樣路由器會自動發現網絡中的NAT設備，將數據包封裝到UDP包中，使VPN可以在NAT環境下使用。

總部設置：

?

IPsec VP設置

此處以配置北京分公司與深圳總公司間的IPsec VP為例，首先配置深圳總公司的TL-ER3220G：

(1)?總部配置IPsec安全策略基本設置

VP-N?>>?IPsec，進入IPsec安全策略?標簽頁，點擊新增。

1）?IKE的協商模式要選為野蠻模式

2）?在“IKE安全策略”的設置中，認證ID必須選擇為NAME。

?

這里最主要是交換模式：

主模式要求雙方都有公網IP或域名，可以采用esp和ah加密，數據安全性高。

野蠻模式只要求其中一方有公網IP和域名即可，只能采用esp加密。

【參數含義】

A.?策略名稱：設置IPsec安全策略名稱。

B.?對端網關：填寫對端IPsec VP站點的IP地址或者域名，假設此處北京分公司TL-R479GPE-AC WAN口IP地址為“10.1.1.1”，

這個IP肯定是一個運營商內網IP?，此時就需要填寫0.0.0.0.(必須）否則就會無法正常建立連接。

? ?此處的域名也可以是ddns,像花生殼、3322等都可以。但不支持wan口為內網IP的，花生殼的內網穿透也是不行的。

注意：如果你要同多個分支點建立IPSEC，且多個分支都沒有公網IP，可以建立多條對端網關為“0.0.0.0”的策略，但要求“預共享密鑰，IKE協商參數要一致，即加密算法和驗證算法及密鑰有效期都要一樣。

C.?綁定接口：從下拉列表中指定TL-ER3220G的外網接口；對端北京的路由器設置的"對端網關地址"必須與該接口的IP地址相同。

?這個接口要對應上面的IP和域名。就是選那個wan口就寫那個IP或域名。

D.?本地子網范圍：設置本地子網范圍，即深圳總公司局域網“192.168.0.0 /24”?。

路由器LAN口的網段，支持多個LAN網段中的一個網段，不一定是主lan口網段，可以是設置的vlan網段。

例，此路由器有2個網段，一個是本身的lan網段，一個是劃分的vlan網段，（設置多個vlan網段的方法見多網段劃分）。

E.?對端子網范圍：設置對端子網范圍，即北京分公司局域網“192.168.1.0 /24”?。

同上，也是可以多個lan網段中的一個。

F.?預共享密鑰：設置IKE認證的預共享密鑰，通信雙方的預共享密鑰必須相同。

這個只要雙方一樣即可。

G.?狀態：勾選“啟用”，當前策略生效。

(2)?配置IPsec安全策略高級設置

在基本設置完成后，點擊高級設置，包括兩個部分：階段1設置和階段2設置。一般情況下，不需要配置高級設置，采用默認值即可。

1)?階段一設置：設定IKEv1的第一階段的相關參數。

【參數含義】

A.?安全提議：選擇合適的的IPsec安全提議，注意需要與對端保持一致。

B.?交換模式：主模式（Main mode）適用于對身份保護要求較高的場合；野蠻模式（Aggressive mode）適用于對身份保護要求較低的場合，推薦使用主模式。

? ? ? ? ?主模式要求一方都有公網IP或域名，可以采用esp和ah加密，數據安全性高。

? ? ? ? ?野蠻模式只要求其中一方有公網IP和域名即可，只能采用esp加密。

C.?協商模式：初始者模式會主動向對端發起連接，此時要求對端網關是路由可達，而響應者模式僅僅會等待對端發起連接。

初始者模式為沒有公網IP的一端，因為主動發起連接（或叫感興趣流）。

響應者械為有公網IP的一端。

不同廠商叫法不一樣，銳捷的ipsec叫服務端（響應者模式）和客戶端(初始者模式）。

D.?本地ID類型：作為對端的身份標識，支持兩種類型：IP地址和NAME，默認選擇"IP地址",如果選擇NAME類型，則需要輸入任意的字符串。

這里要注意，華為的主模式只支持雙方均有公網IP的場景，且只能選擇IP地址做為ID。

野蠻模式，下可以使用name做為ID。

我用的是NAME，name只需要雙方設置一樣即可，沒有要求。

E.?生存時間?：用于IKE協商方式下IPsec會話密鑰的生存時間。

F.?DPD檢測：Dead Peer Detect，檢測對端在線狀態，建議啟用。

2)?階段2設置：設定IKEv1的第二階段的相關參數

?由于NAT模型與IPSEC中的AH協議的設計理念是完全相違背的，所以，在選擇IPSEC協議的的時候，只能選擇ESP協議。

【參數含義】

A.?封裝模式：指定該策略是隧道模式還是傳輸模式，兩者的區別在于：前者會在原始IP報文外多增加一個IP頭，后者則不會。

一般都要選隧道模式，傳輸模式用于路由器和路由器之間，沒有下連PC。

隧道模式：數據發送點和數據加密點（一般為網關路由器）不相同。數據發送者的IP地址不能在公網被路由。

傳輸模式：數據發送點和數據加密點（一般為網關路由器）相同，數據發送者的IP地址可以在公網被路由。

B.?安全提議：選擇IKEv1第二階段合適的的IPsec安全提議，注意需要與對端保持一致。

C.?PFS：?用于IKE協商方式下設置IPsec會話密鑰的PFS屬性，本地與對端的PFS屬性必須一致。

D.?生存時間?：用于IKE協商方式下IPsec會話密鑰的生存時間。

分部設置：

1.點擊?新增，進行基本設置配置，填寫策略名稱、對端網關，選擇綁定接口、填寫本地子網范圍、對段子網范圍、預共享密碼（與深圳總部相同的密鑰），勾選啟用。

（2）配置IPsec安全策略高級設置：VP-N?>>?IPsec

點擊?高級設置，進行IKEv1階段1和階段2配置。如果總部保持的默認配置，分部也保存默認配置即可，如果總部做了修改，則分部應保持一致。

設置完成。

配置完成后點擊確定，在IPsec安全策略列表中會出現一個條目：

配置完成，IPsec安全聯盟建立成功后，可以在IPsec安全聯盟中看到相應條目，北京分公司的局域網“192.168.30.0/24”與深圳總公司局域網“192.168.7.0 /24 ”間可相互訪問。

兩條分支為內網IP的IPSEC通道建立成功，其中39.149.21.18是動態獲取的，當時斷開光貓重連時這個IP會變。

?

總結

以上是生活随笔為你收集整理的TP- LINK企业级vp-n路由器ipsec场景与实施（野蛮模式）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。