某公司总公司位于深圳，在北京、上海两地有分公司，现需要组建一个网络，达到三个机构能资源共享的目的，本文将通过一个实例来展示

　　TL-ER3220G是TP-LINK专为企业应用而开发的VPN路由器，具备强大的数据处理能力，并且支持丰富的软件功能，包括VPN、IP/MAC地址绑定、常见攻击防护、访问控制列表、QQ/MSN/迅雷/金融软件限制、IP带宽控制、连接数限制等功能，适合企业、小区、酒店等组建安全、高效、易管理的网络。

　　TL-R479GPE-AC是TP-LINK专为企业分支机构接入IPSEC VPN网络而开发的专用VPN路由器，支持10条IPSecVPN隧道，支持IP与MAC绑定，有效防范ARP攻击，支持DoS攻击防护，有效抵御各类广域网的网络攻击，支持带宽控制，灵活控制用户带宽，支持访问控制策略，可基于IP/MAC地址限定主机上网权限。

　　基本设置WAN口设置，进入WAN口模式标签页，根据需求设置WAN口数量，此处我们保持默认为“双WAN口”。

　　基本设置WAN口设置，在WAN1设置标签页，设置WAN口网络参数以及该线路的上下行带宽值。

　　【提醒】VPN两端路由器WAN口中至少需要一端是公网IP，如没有公网IP则需要考虑NAT下的IPsec应用，请参考：《[企业路由器应用] NAT下的IPSEC VPN配置实例》。

　　此处以配置北京分公司与深圳总公司间的IPsec VPN为例，首先配置深圳总公司的TL-ER3220G：

　　C.绑定接口：从下拉列表中指定TL-ER3220G的外网接口；对端北京的路由器设置的对端网关地址必须与该接口的IP地址相同。

　　D.本地子网范围：设置本地子网范围，即深圳总公司局域网“192.168.0.0 /24”。

　　E.对端子网范围：设置对端子网范围，即北京分公司局域网“192.168.1.0 /24”。

　　F.预共享密钥：设置IKE认证的预共享密钥，通信双方的预共享密钥必须相同。

　　在基本设置完成后，点击高级设置，包括两个部分：阶段1设置和阶段2设置。一般情况下，不需要配置高级设置，采用默认值即可。

　　B.交换模式：主模式（Main mode）适用于对身份保护要求较高的场合；野蛮模式（Aggressive mode）适用于对身份保护要求较低的场合，推荐使用主模式。

　　C.协商模式：初始者模式会主动向对端发起连接，此时要求对端网关是路由可达，而响应者模式仅仅会等待对端发起连接。

　　D.本地ID类型：作为对端的身份标识，支持两种类型：IP地址和NAME，默认选择IP地址,如果选择NAME类型，则需要输入任意的字符串。

　　A.封装模式：指定该策略是隧道模式还是传输模式，两者的区别在于：前者会在原始IP报文外多增加一个IP头，后者则不会。

　　B.安全提议：选择IKEv1第二阶段合适的的IPsec安全提议，注意需要与对端保持一致。

　　C.PFS：用于IKE协商方式下设置IPsec会话密钥的PFS属性，本地与对端的PFS属性必须一致。

　　设置路由器的WAN口模式：网络参数WAN口设置，根据需求设置WAN口连接类型，此处我们选择为静态IP，保存。

　　点击新增，进行基本设置配置，填写策略名称、对端网关，选择绑定接口、填写本地子网范围、对段子网范围、预共享密码（与深圳总部相同的密钥），勾选启用。

　　上图中各个选项意义上文TL-ER3220G中的意义相同。点击确定，生成IPsec条目。

　　点击高级设置，进行IKEv1阶段1和阶段2配置。如果总部保持的默认配置，分部也保存默认配置即可，如果总部做了修改，则分部应保持一致。

　　配置完成，IPsec安全联盟建立成功后，可以在IPsec安全联盟中看到相应条目，北京分公司的局域网“192.168.1.0/24”与深圳总公司局域网“192.168.0.0 /24 ”间可相互访问。