本文档的目标是在RV160和RV260系列路由器上创建站点到站点VPN。
虚拟专用网络(VPN)是将远程员工连接到安全网络的绝佳方式。VPN允许远程主机像连接到现场安全网络一样工作。在站点到站点VPN中,一个位置的本地路由器通过VPN隧道连接到远程路由器。此隧道通过使用行业标准加密和身份验证技术来保护发送的数据,从而安全地封装数据。
请注意,当您配置站点到站点VPN时,隧道两端的局域网(LAN)子网不能位于同一网络。例如,如果站点A LAN使用192.168.1.x/24子网,则站点B不能使用同一子网。站点B必须使用不同的子网,如192.168.2.x/24。
要正确配置隧道,请在配置两台路由器时输入相应的设置(反向本地和远程)。假设此路由器被标识为路由器A。在“本地组设置”部分输入其设置,同时在“远程组设置”部分输入其他路由器(路由器B)的设置。配置另一台路由器(路由器B)时,在本地组设置部分输入其设置,然后在远程组设置中输入路由器A设置。
下面是路由器A和路由器B的配置表,以粗体突出显示的参数是与相反路由器相反的参数。其他所有参数的配置都相同。在本文档中,我们将使用路由器A配置本地路由器。
字段 |
路由器A(本地) WAN IP地址:140.x.x.x 本地 IP 地址:192.168.2.0/24 |
路由器B(远程) WAN IP地址:145.x.x.x 本地 IP 地址:10.1.1.0/24 |
连接名称 |
VPNTest |
VPNTestB |
IPSec 简档 |
HomeOffice(与RemoteOffice配置相同) |
RemoteOffice(与HomeOffice配置相同) |
接口 |
WAN |
WAN |
远程终端 |
静态 IP:145.x.x.x |
静态 IP:140.x.x.x |
IKE身份验证方法 |
预共享密钥 预共享密钥:CiscoTest123! |
预共享密钥 预共享密钥:CiscoTest123! |
本地标识符类型 |
本地WAN IP |
本地WAN IP |
本地标识符 |
140.x.x.x |
145.x.x.x |
本地IP类型 |
子网 |
子网 |
本地 IP 地址 |
192.168.2.0 |
10.1.1.0 |
本地子网掩码 |
255.255.255.0 |
255.255.255.0 |
远程标识符类型 |
远程广域网IP |
远程广域网IP |
远程标识符 |
145.x.x.x |
140.x.x.x |
远程IP类型 |
子网 |
子网 |
远程 IP 地址 |
10.1.1.0 |
192.168.2.0 |
远程子网掩码 |
255.255.255.0 |
255.255.255.0 |
积极模式 |
禁用 |
禁用 |
要了解如何配置IPsec配置文件,请参阅上的文章:在RV160和RV260上配置IPSec配置文件(自动键控模式)。
要使用设置向导配置站点到站点VPN,请参阅上的文章:在RV160和RV260上配置VPN设置向导。
· RV160
· RV260
·1.0.00.13
步骤1.登录路由器A的Web配置页面。
注意:我们将为两台路由器使用RV160。
步骤2.导航到VPN > IPSec VPN > Site-to-Site。
步骤3.单击添加按钮以添加新的站点到站点VPN连接。
步骤4.选中启用以启用配置。默认情况下启用该接口。
步骤5.输入VPN隧道的连接名称。此说明仅供参考,不必与隧道另一端使用的名称匹配。
在本例中,我们将输入VPNTest作为连接名称。
步骤6.如果已创建新的IPsec配置文件或希望使用预制配置文件(Amazon_Web_Services、Microsoft_Azure),请选择要用于VPN的IPsec配置文件。默认情况下,选择Default - Auto Profile。IPsec配置文件是IPsec中的中心配置,用于定义用于第I阶段和第II阶段协商的加密、身份验证和Diffie-Hellman(DH)组等算法。
在本例中,我们将选择HomeOffice作为我们的IPsec配置文件。
注意:如果想了解有关创建IPsec配置文件的详细信息,请参阅文章:在RV160和RV260上配置IPSec配置文件(自动键控模式)。
步骤7.在Interface字段中,选择用于隧道的接口。在本例中,我们将使用WAN作为接口。
步骤8.为远程终端选择静态IP、完全限定域名(FQDN)或动态IP。根据您的选择输入远程终端的IP地址或FQDN。
我们选择了静态IP并输入到远程终端IP地址。
步骤1.选择Pre-shared Key或Certificate。。在本演示中,我们将选择预共享密钥作为我们的IKE身份验证方法。
IKE对等体通过计算和发送包含预共享密钥的数据的密钥散列来相互验证。如果接收对等体能够使用其预共享密钥独立创建相同的哈希值,则它知道两个对等体必须共享相同的密钥,从而对另一个对等体进行身份验证。预共享密钥扩展不良,因为每个IPsec对等体必须配置其建立会话的所有其他对等体的预共享密钥。
数字证书是包含诸如证书持有者身份等信息的包:名称或IP地址、证书的序列号、证书的到期日期以及证书持有者的公钥的副本。标准数字证书格式在X.509规范中定义。X.509第3版定义证书的数据结构。如果已选择“证书”,请确保已签名的证书已导入“管理”>“证书”。从本地和远程的下拉列表中选择证书。
步骤2.在Pre-shared Key字段中,输入预共享密钥。
注意:确保远程路由器使用相同的预共享密钥。
步骤3.如果要显示预共享密钥,请选中“启用”复选框。预共享密钥强度计通过彩色条显示预共享密钥的强度。选中Enable以启用最低预共享密钥复杂性。然后,跳至For Local Group Setup部分。
步骤1.从下拉列表中选择Local WAN IP、IP Address、Local FQDN或Local User FQDN。根据您的选择输入标识符名称或IP地址。如果已选择本地WAN IP,则应自动输入路由器的WAN IP地址。
步骤2.对于本地IP类型,从下拉列表中选择子网、单、任、IP组或GRE接口。
在本例中,选择了子网。
步骤3.输入可使用此隧道的设备的IP地址。然后输入子网掩码。
在本演示中,我们将输入192.168.2.0作为本地IP地址,并输入255.255.255.0作为子网掩码。
步骤1.从下拉列表中选择Remote WAN IP、Remote FQDN或Remote User FQDN。根据您的选择输入标识符名称或IP地址。
我们选择远程WAN IP作为远程标识符类型,并在远程路由器的IP地址中输入。
步骤2.从“远程IP类型”下拉列表中,选择子网、单、任意、IP组。
在本例中,我们将选择Subnet。
注意:如果已选择IP组作为远程IP类型,将出现一个用于创建新IP组的弹出窗口。
步骤3.输入可使用此隧道的设备的远程本地IP地址和子网掩码。
我们为可以使用此隧道的远程本地IP地址输入了10.1.1.0,子网掩码为255.255.255.0。
步骤4.选中此框以启用主动模式。主动模式是当IKE SA的协商被压缩为三个数据包,其中所有SA要求数据都由发起方传递时。协商更快,但他们容易以明文交换身份。
在本例中,我们将不选中它。
注意:有关主模式与主动模式的其他信息,请参阅:主模式与主动模式
步骤5.单击Apply创建新的站点到站点VPN连接。
现在,您应该已经为本地路由器成功添加了新的站点到站点VPN连接。您需要使用反向信息配置远程路由器(路由器B)。
路由器当前使用的所有配置都在运行配置文件中,该文件在重新启动后不会保留,因此易失性。
步骤1.在页面顶部,单击“保存”按钮导航至“配置管理”,将运行配置保存到启动配置。这是在重新启动后保留配置。
步骤2.在配置管理中,确保源为运行配置,目标为启动配置。然后按Apply将运行配置保存到启动配置。路由器当前使用的所有配置都在运行配置文件中,该文件是易失性的,在重新启动后不会保留。将运行配置文件复制到启动配置文件将保留重新启动后的所有配置。