虚拟专用网络(VPN)是专用网络,用于通过公共网络虚拟连接远程用户的设备以提供安全性。更具体地说,网关到网关VPN连接允许两台路由器安全地彼此连接,并且一端的客户端逻辑上看起来是另一端同一远程网络的一部分。这使数据和资源能够更轻松、更安全地通过Internet共享。必须在连接的两端执行相同的配置,才能成功建立网关到网关VPN连接。
高级网关到网关VPN配置可灵活配置VPN隧道的可选配置,使VPN用户更易于使用。“高级”(Advanced)选项仅对具有预共享密钥模式的IKE可用。VPN连接两端的高级设置应相同。
本文档旨在向您展示如何在RV016、RV042、RV042G和RV082 VPN路由器上配置网关到网关VPN隧道的高级设置。
注意:如果您想了解有关如何配置网关到网关VPN的详细信息,请参阅在RV016、RV042、RV042G和RV082 VPN路由器上配置网关到网关VPN的文章。
· RV016
· RV042
· RV042G
· RV082
•v4.2.2.08
步骤1.登录路由器配置实用程序并选择VPN > Gateway To Gateway。“网关至网关”页面打开:
步骤2.向下滚动到“IPSec设置”部分,然后单击“高级+”。系统将显示“高级”区域:
步骤3.如果网络速度低,请选中Aggressive Mode复选框。这将在 SA 连接期间以明文形式交换隧道终端的 ID(第 1 阶段),这需要较少的交换时间,但安全性较低。
步骤4.如果要压缩IP数据报的大小,请选中Compress(Support IP Payload Compression Protocol(IPComp))复选框。IPComp是一种IP压缩协议,用于压缩IP数据报的大小。如果网络速度较慢,并且用户希望通过慢速网络快速传输数据而不会造成任何损失,则 IP 压缩非常有用,但它无法提供任何安全性。
步骤5.如果始终希望VPN隧道的连接保持活动,请选中Keep-Alive复选框。Keep-Alive有助于在任何连接变为非活动状态时立即重新建立连接。
步骤6.如果要启用Authenticate Header(AH),请选中AH Hash Algorithm复选框。AH 通过校验和提供源数据和数据完整性的身份验证,并为 IP 报头提供保护。隧道两端的算法应相同。
· MD5 — 消息摘要算法5(MD5)是128位十六进制哈希函数,通过校验和计算保护数据免受恶意攻击。
· SHA1 — 安全散列算法版本1(SHA1)是160位散列函数,比MD5更安全,但计算时间更长。
步骤7.如果要允许不可路由的流量通过VPN隧道,请选中NetBIOS Broadcast复选框。默认情况下为未选中状态。NetBIOS用于通过某些软件应用和Windows功能(如网络邻居)检测网络中的打印机和计算机等网络资源。
步骤8.如果要通过公有IP地址从私有LAN访问Internet,请选中NAT遍历复选框。如果VPN路由器位于NAT网关后面,请选中此复选框以启用NAT遍历。隧道的两端必须具有相同的设置。
步骤9.选中Dead Peer Detection Interval以定期检查通过Hello或ACK的VPN隧道的活动性。如果选中此复选框,请输入问候消息之间的间隔(以秒为单位)。
注意:如果未选中Dead Peer Detection Interval,请跳至步骤11。
步骤10.选中Tunnel Backup复选框以启用隧道备份。仅当Dead Peer Detection Interval已检查时,此功能才可用。该功能使设备能够通过备用本地WAN接口或远程IP地址重新建立VPN隧道。
·远程备份IP地址 — 输入远程网关的备用IP地址,或在此字段中输入已为远程网关设置的WAN IP地址。
·本地接口 — 用于重新建立连接的WAN接口。从下拉列表中选择所需的接口。
· VPN Tunnel Backup Idle Time — 输入在使用备份隧道之前主隧道必须连接的时间(以秒为单位)。
步骤11.选中Split DNS复选框以启用拆分DNS。拆分DNS允许指定域名的请求由通常使用的不同DNS服务器处理。当路由器收到来自客户端的任何DNS请求时,它会检查DNS请求并与域名匹配,并将请求发送到该特定DNS服务器。
步骤12.在DNS1字段中输入DNS服务器IP地址。如果有另一台DNS服务器,请在DNS2字段中输入DNS服务器IP地址。
步骤13.通过域名4在域名1中输入域名。这些域名的请求将由步骤12中指定的DNS服务器处理。
步骤14.单击“保存”保存更改。