干货！ER系列路由器 IPSEC VPN配置方法

需求或说明

1.1 适用产品系列 本案例适用于ER产品系列路由器：ER3260、ER3100、ER3200、ER5200等。

注意：ER6300、ER8300不支持IPSEC VPN。

1.2 配置需求及实现的效果 Router A和Router B均使用ER系列路由器，在两者之间建立一个安全隧道，对客户分支机构A所在的子网（192.168.1.0/24）与客户分支机构B所在的子网（172.16.1.0/24）之间的数据流进行安全保护，实现2端子网终端通过IPsec VPN 隧道进行互访。

组网

配置步骤3.1 基本连接

在路由器接口面板找到LAN接口，用网线将电脑和设备的任意一个LAN接口连在一起，电脑可以自动获取192.168.1.X/24网段的地址。电脑连接好路由器之后完成后打开浏览器，在浏览器地址栏中输入http://192.168.1.1登录设备管理界面。

3.2 登陆设备WEB界面

运行Web浏览器，在地址栏中输入http://192.168.1.1，如下图所示。

回车后跳转到Web登录页面，输入用户名、密码（缺省均为admin，区分大小写）以及验证码（不区分大小写），如下图所示。

单击【登录】按钮或直接回车后，您即可登录到路由器的Web设置页面，如下图所示。

注意：同一时间，路由器最多允许五个用户通过Web设置页面进行管理。

3.3 配置IPSEC VPN

3.3.1 配置IPSEC 虚接口

单击【VPN】--【VPN设置】--【虚接口】, 点击【新增】，绑定对应的WAN口，比如WAN1：

3.3.2 配置IKE安全提议

单击【VPN】--【VPN设置】--【IKE安全提议】，点击【新增】，配置IKE安全提议的各个参数：安全提议名称、IKE验证算法、IKE加密算法、IKE DH组，如下图配置。

3.3.3配置IKE对等体

单击【VPN】--【VPN设置】--【IKE对等体】，点击【新增】，配置IKE对等体：

对等体名称为ike、绑定虚接口为ipsec0（前面已经创建）、对端地址为Router B的公网ip，即192.100.100.19、协商模式选择主模式、安全提议选择ike（前面已经创建）、配置预共享秘钥，此处配置为123456（可根据自己需求自行设置）、其余选择默认即可。

3.3.4配置IPSEC安全提议

单击【VPN】--【VPN设置】---【IPSec安全提议】，，点击【新增】，配置IPSEC安全提议：安全提议名称、安全协议类型、ESP验证算法、ESP加密算法配置如下图：

3.3.5配置IPSEC安全策略

单击【VPN】--【VPN设置】--【IPSEC安全策略】，勾选启【用IPSEC功能】，点击【新增】，配置IPSEC安全策略：本地子网IP即为Router A内网网段，此处配置为192.168.1.0/24，对端子网IP即为Router B内网网段，此处配置为172.16.1.0/24，其余参数按照下图所示配置：

3.3.6配置去往对端子网的静态路由