公司外网网关为一台飞塔防火墙,需要与分支机构建立一条IPSEC vpn链路,分支机构有一台tplink路由器可支持ipsec功能。

tplink路由器配置步骤:

一、创建vpn建立第一阶段IKE的加密组件;

wKioL1g-qQPgZtMbAABVvel0c5I216.png-wh_50

二、创建vpn第一阶段相关模式信息;

wKioL1g-rRLRfw-0AACGxq8ubrw118.png-wh_50

三、创建第二阶段加密组件以及模式;

wKioL1g-rWfg8BHQAABcyy0ZAF0551.png-wh_50

wKioL1g-rWeBtlCzAAByxFqd7W4483.png-wh_50

四、其他的访问控制,全部放行即可。(路由设置好本地路由即可,vpn中的远端路由不需要写到路由表中。)


飞塔防火墙配置步骤:

一、创建vpn第一阶段配置信息

wKiom1g-ruPgVZCAAACypdA0x0w131.png-wh_50

二、创建vpn第二阶段配置信息

wKiom1g-r5Kg2F5AAAB-yqRzJa4944.png-wh_50

说明:好像vpn两端配置的源地址和目的地址必须匹配,否则不能连接成功。

三、配置防火墙的访问控制

wKiom1g-stTy6KBFAACIP7DDnKU212.png-wh_50

说明:飞塔防火墙一定要配置vpn访问策略。当数据进入防火墙后,防火墙根据数据匹配的策略决定将数据转发到哪一条vpn隧道,所以说,数据在vpn隧道间的选路是由策略决定的。