山石防火墙对接普联 IPSec VPN

山石防火墙SG-6000-B3600 IPSEC VPN 如何对接 TP-LINK TL-R476G IPSEC VPN

北京设备：HILLSTONE SG-6000-B3600

上海设备：TP-LINK TL-R476G

要求内网互通。

简述

IPSec VPN

IPSec是为实现VPN功能而使用的协议。IPSec给出了应用于IP层上网络数据安全的一整套体系结构。该体系结构包括认证头协议（Authentication Header，简称为AH）、封装安全负载协议（Encapsulating Security Payload，简称为ESP）、密钥管理协议（Internet Key Exchange，简称为IKE）和用于网络认证及加密的一些算法等。IPSec规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。

一、登录北京山石防火墙HILLSTONE SG-6000-B3600

1.1 打开>网络>VPN>IPSEC VPN>新建

1.2新建如下操作，

对端名称

对端选项：先默认

隧道

名称：shanghai

模式：隧道模式

P2提议：先默认

代理ID：先默认自动

最后确定
1.3 回到IPsecVPN列表，编辑shanghai。

对端名称选项中下拉，点击绿色加号新建VPN对端配置。

名称：shanghai

接口：选择防火墙公网接口

接口类型：IPV4

协议标准：ILEV1

认证模式：主动模式

类型：静态IP

对端地址：输入对方公网IP

提议1：先默认一会再设置

预共享密码：自己设置记好

最后确定

然后再回到提议1 下拉，如图设置

设置好确定，然后回头1.2  图1，

对端名称

对端选项：shanghai

隧道

名称：shanghai

模式：隧道模式

P2提议：shanghai

代理ID：手动

代理ID列表：填写本地IP/掩码 和 远程IP/掩码

最后确定

以上步骤做完。

还需要做一个北京到上海的策略、路由、NAT。

二、登录上海设备：TP-LINK TL-R476G 企业VPN路由器

2.1  打开VPN》勾选启用路由模式的IPsec VPN功能

再点击隧道列表新增

输入策略名称：beijing

对端网关：北京公网IP

绑定接口：WAN

隧道接口地址：上海公网IP

本地子网范围：上海局域网网段

对端子网范围：北京局域网网段

预共享密钥：自己设置好记下，与北京设置预设密钥一样。确定

2.2 点击高级设置

阶段1设置

安全提议：MD5-DES-DH2

安全提议：

安全提议：

安全提议：

交换模式：主模式

协商模式：初始者模式

本地ID类型：IP地址

对端ID 类型：IP地址

生存时间：604800

DPD检测开启：启用

DPD检测周期：10

阶段2设置

封装模式：隧道模式

安全提议：ESP-MD5-3DES

安全提议：

安全提议：

安全提议：

PFS：dh2

生存时间：604800

最后确定。

大致思路就是这些。