#原创分享#标准IPSEC VPN对接TP-LINK

>>【原创分享计划2】分享技术经验，赚上千元稿酬！

一、网络拓扑图

总部出口是应用负载AD，SSL VPN是单臂部署，总部有独立公网IP

分支TP-LINK设备是网关模式部署在出口，通过ADLS拨号方式链接，没有固定公网IP





二、总部配置

1、配置IPSEC VPN第一阶段

选择远端对应设备地址类型，共享密钥需要两端设备一致，存活时间、身份ID、认证算法、加密算法、支持模式、等参数需要保持一致，身份类型也需要两端保持一致。

2、查看安全选项

安全选项会在IPSEC VPN第二阶段出站策略中查看，需要两端配置一致

3、配置IPSEC VPN第二阶段

①新建入站策略，填写好子网和掩码，选择分支设备。

②新建出站策略，填写好子网和掩码，注意第二阶段出站策略有个生存时间，两端设备的生存时间需要配置一致，注意选择的安全选项

三、分支TP-LINK配置

1、IPSEC VPN基本配置

配置总部IPSEC VPN公网IP，绑定公网出接口，填写好总部第二阶段的出入站策略，本地地址是本端网段，对端子网是总部网段，共享密钥需要和总部设置的一致

2、配置IPSEC VPN第一阶段

点击高级设置进行配置第一阶段，第一阶段的安全提议就是总部第一阶段的算法，需要选择一致的算法，协商模式、身份ID、生存时间也需要配置和总部一样

2、配置IPSEC VPN第二阶段

由于第二阶段的出入站网段已经在基本配置中配置了，所以第二阶段只有封装模式、和第二阶段的安全选项、生存时间，两端的配置也需要一致

三、故障排错

1、日志截图

2、总部设备查看日志发现（框选第一条）告警信息显示DPD超时导致，需要到第一阶段关闭DPD即可

3、关闭DPD查看日志发现第一阶段协商成功，第二阶段久久没有协商成功（框选第二天），通过查看第二阶段发现总部开启了密钥完美向前保密，而分支并没有开启，需要在总部关闭密钥完美向前保密即可

修改完后查看日志发现两端第一第二阶段已经协商完成，隧道连接已经建立成功

四、查看两端IPSEC VPN设备状态

注意事项：

单臂模式需要在出口设备做UDP500、4500这两个端口的映射

第三方对接IPSEC VPN 某公司设备需要有分支授权

您好，感谢您参与社区原创分享计划2，您的文章已被收录到计划中，分享激励将在专家小组评审结束后进行派发，再次感谢！

感谢楼主的分享，整篇文章详细介绍标准的IPSEC VPN的配置过程以及排错过程，利用日志的报错分析准确的定位出了问题。关于DPD的问题，DPD主要的作用是用于检测隧道是否活跃，若检测到对端已经断开，则释放SA.标准IPSEC VPN的检测机制包括heartbeat、keepalive、DPD等，我司设备上支持DPD检测，如果对端使用的是非DPD的检测机制，而我们设备上启用DPD检测就可能会出现隧道建立马上就断开的情况，这种情况可以让对端设备使用DPD探测或者关闭我方DPD。另外，温馨提示下楼主，SSL调试日志打开后记得关闭，SSL调试日志主要用于排查问题时使用，调试日志打开的情况下会产生比较多的日志。

抢个沙发，感谢楼主分享！

整个过程记录很详细呢！

配置的很详细，申请加精

666.我可以参考一下

很详细，学习了

不错，谢谢

上次还遇到了这个问题，赞