在RV340或RV345路由器上配置站點到站點虛擬專用網路(VPN)連線

目標

虛擬專用網路(VPN)是本地網路和遠端主機通過Internet之間的連線。本地和遠端主機可以是電腦，也可以是設定已同步以允許它們通訊的另一個網路。在所有型別的VPN上都是如此。它通常允許兩個網路訪問連線兩端的資源。VPN連線通常用於連線第二辦公室與總部，或者允許遠端工作人員連線到辦公室的電腦網路，即使他並沒有實際連線到網路基礎設施。遠端員工通常通過VPN軟體客戶端（如AnyConnect、Shrew Soft、GreenBow等）進行連線。

本文旨在展示如何在RV340和RV345路由器之間配置站點到站點VPN連線。它將主路由器稱為本地路由器，而輔助路由器稱為遠端路由器。請務必對輔助路由器進行遠端或物理訪問。

適用裝置

• RV340
• RV340W
• RV345
• RV345P

軟體版本

• 1.0.03.15

特別宣告：許可結構 — 韌體版本1.0.3.15及更高版本。AnyConnect僅會對客戶端許可證產生費用。

您需要向 CDW 等合作夥伴或透過貴公司的裝置採購部門，購買用戶端授權。有 1 個使用者 (L-AC-PLS-3Y-S5) 的選項，或包括 25 個使用者一年的授權套件 (AC-PLS-P-25-S)。另外，還有其他可用的授權選項，包括永久授權。如需有關授權的更多詳細資訊，請查看下方「授權資訊」部分中的連結。

有關RV340系列路由器上的AnyConnect許可的其他資訊，請檢視RV340系列路由器的AnyConnect許可一文。

配置VPN連線

本地路由器

步驟 1.登入到本地路由器的基於Web的實用程式，然後選擇VPN > Site-to-Site。

註：本示例中使用的是RV340。

步驟 2.按一下plus圖示。

步驟 3.確保選中Enable覈取方塊。預設情況下會選中它。

步驟 4.在Connection Name欄位中輸入連線的名稱。

注意：在本示例中，名稱為TestVPN1。

步驟 5.從IPSec Profile下拉選單中選擇連線的安全設定。這些選項取決於建立的IPSec配置檔案。有關如何建立IPSec配置檔案的說明，請按一下此處。

注意：在本示例中，選擇了CiscoTestVPN。

步驟 6.選擇本地路由器要使用的介面。選項包括：

• WAN1 — 此選項會將本地路由器的廣域網1(WAN1)介面的IP地址用於VPN連線。
• WAN2 — 此選項會將本地路由器的WAN2介面的IP地址用於VPN連線。WAN2在單WAN路由器中不可用。
• USB1 — 此選項會將本地路由器的通用串列匯流排1(USB1)介面的IP地址用於VPN連線。
• USB2 — 此選項會將本地路由器的USB2介面的IP地址用於VPN連線。USB2在單USB路由器上不可用。

注意：在本例中，選擇了WAN1。

步驟 7.選擇遠端路由器的WAN介面的識別符號。選項包括：

• 靜態IP — 此選項將允許本地路由器在建立VPN連線時使用遠端路由器的靜態IP地址。如果在本地路由器上選擇了此選項，則還應使用相同的選項配置遠端路由器。
• FQDN — 建立VPN連線時，此選項將使用遠端路由器的完全限定域名(FQDN)。
• 動態IP — 建立VPN連線時，此選項將使用遠端路由器的動態IP地址。

注意：遠端路由器上的介面識別符號應與本地路由器的介面識別符號相同。在本例中，選擇了靜態IP。

步驟 8.輸入遠端路由器WAN介面的IP地址。

注意：在本示例中，使用124.123.122.123。

步驟 9.按一下所需的網際網路金鑰交換(IKE)身份驗證方法的單選按鈕。選項包括：

• 預共用金鑰 — 此選項表示連線需要密碼才能完成連線。VPN連線兩端的預共用金鑰應該相同。
• Certificate — 此選項表示驗證方法在連線時使用路由器產生的憑證，而不是密碼。

注意：在本示例中，選擇預共用金鑰。

步驟 10.在預共用金鑰欄位中輸入VPN連線的預共用金鑰。

步驟11.（可選）如果要為VPN連線使用簡單密碼，請取消選中Minimum Preshared Key Complexity Enable覈取方塊。預設情況下會選中此項。

步驟12。（可選）選中Show plain text when edit Enable覈取方塊以純文字檔案顯示預共用金鑰。預設情況下未選中此項。

步驟 13.從Local Identifier Type下拉選單中選擇本地網路的識別符號型別。選項包括：

• 本地WAN IP — 此選項將通過介面的WAN IP標識本地網路。
• IP地址 — 此選項將通過本地IP地址標識本地網路。
• 本地FQDN — 此選項將通過FQDN標識本地網路（如果具有FQDN）。
• 本地使用者FQDN — 此選項將通過使用者的FQDN（可以是其電子郵件地址）標識本地網路。

注意：在本例中，選擇了IP地址。

步驟 14.在Local Identifier欄位中輸入本地網路的識別符號。

注意：在本示例中，輸入的是124.123.122.121。

步驟 15.從Local IP Type下拉選單中，選擇VPN客戶端可以訪問的IP地址型別。選項包括：

• 子網 — 此選項允許VPN的遠端端訪問指定子網中的本地主機。
• IP地址(IP Address) — 此選項允許VPN的遠端端訪問具有指定IP地址的本地主機。
• Any — 此選項允許VPN的遠端端訪問任何本地主機。

註：在本示例中，選擇了子網。

步驟 16.在「IP Address」欄位中輸入要由VPN客戶端訪問的網路或主機的IP地址。

注意：在本例中，IP地址為10.10.10.1。

步驟 17.在Subnet Mask欄位中輸入IP地址的子網掩碼。

注意：在本例中，子網掩碼為255.255.255.0。

步驟 18.從下拉選單中選擇Remote Identifier Type。選項包括：

• 遠端WAN IP — 此選項將通過介面的WAN IP標識遠端網路。
• 遠端FQDN — 此選項將通過FQDN標識遠端網路（如果它有一個）。
• 遠端使用者FQDN — 此選項將通過使用者的FQDN（可以是其電子郵件地址）來標識遠端網路。

注意：在本示例中，選擇遠端WAN IP。

步驟 19.在遠端識別符號欄位中輸入遠端路由器的WAN IP地址。

注意：在本示例中，遠端識別符號為124.123.122.123。

步驟 20.從Remote IP Type下拉選單中選擇本地網路需要訪問的網路型別。選項包括：

• IP地址 — 此選項允許本地主機訪問具有指定IP地址的遠端主機。
• 子網 — 此選項允許本地主機訪問具有指定子網的遠端主機上的資源。
• Any — 此選項允許本地主機使用任何IP地址訪問遠端主機上的資源。

步驟 21.在「IP Address」欄位中輸入遠端網路的LAN IP地址。

注意：在本例中，IP地址為192.168.2.1。

步驟 22.在Subnet Mask欄位中輸入遠端網路的子網掩碼。

注意：在本例中，子網掩碼為255.255.255.0。

步驟 23.按一下「Apply」。

步驟 24.按一下「Save」。

您現在應該在本地路由器上配置VPN設定。

遠端路由器

步驟 1.確定本地路由器的VPN設定，例如：

• 用於VPN連線的本地和遠端路由器的介面。
• 本地和遠端路由器的廣域網(WAN)網際網路協定(IP)地址。
• 本地和遠端網路的區域網(LAN)地址和子網掩碼。
• VPN連線的預共用金鑰、密碼或證書。
• 本地路由器的安全設定。
• VPN連線的防火牆免除。

步驟 2.登入到路由器的基於Web的實用程式，然後選擇VPN > IPSec Profiles。

步驟 3.配置遠端路由器的VPN安全設定，匹配本地路由器的VPN安全設定。有關說明，請按一下此處。

步驟 4.在本地路由器的基於Web的實用程式上，選擇VPN > Site-to-Site。

步驟 5.按一下plus圖示。

步驟 6.確保選中Enable覈取方塊。預設情況下會選中它。

步驟 7.在Connection Name欄位中輸入VPN連線的名稱。遠端路由器的連線名稱可能與本地路由器中指定的連線名稱不同。

注意：在本示例中，連線名稱為TestVPN。

步驟 8.從下拉選單中選擇IPSec配置檔案。這些選項取決於建立的IPSec配置檔案。有關建立IPSec配置檔案的說明，請按一下此處。

注意：在本示例中，選擇了CiscoTestVPN。

步驟 9.從下拉選單中選擇遠端路由器將用於VPN連線的介面。選項包括：

• WAN1 — 此選項會將遠端路由器的廣域網1(WAN1)介面的IP地址用於VPN連線。
• WAN2 — 此選項會將遠端路由器的WAN2介面的IP地址用於VPN連線。WAN2在單WAN路由器中不可用。
• USB1 — 此選項會將遠端路由器的通用串列匯流排1(USB1)介面的IP地址用於VPN連線。
• USB2 — 此選項會將遠端路由器的USB2介面的IP地址用於VPN連線。USB2在單USB路由器上不可用。

注意：在本例中，選擇了WAN1。

步驟 10.從Remote Endpoint下拉選單中選擇本地路由器WAN介面的識別符號。選項包括：

• 靜態IP — 此選項將允許遠端路由器在建立VPN連線時使用本地路由器的靜態IP地址。如果在本地路由器上選擇了此選項，則還應使用相同的選項配置遠端路由器。
• FQDN — 建立VPN連線時，此選項將使用本地路由的完全限定域名(FQDN)。
• 動態IP — 在建立VPN連線時，此選項將使用本地路由器的動態IP地址。

注意：遠端路由器上的介面識別符號應與本地路由器的介面識別符號相同。在本例中，選擇了靜態IP。

步驟 11.輸入本地路由器的WAN IP地址。

注意：在本例中，IP地址為124.123.122.121。

步驟 12.按一下所需的網際網路金鑰交換(IKE)身份驗證方法的單選按鈕。選項包括：

• 預共用金鑰 — 此選項表示連線需要密碼才能完成連線。VPN連線兩端的預共用金鑰應該相同。
• Certificate — 此選項表示驗證方法在連線時使用路由器產生的憑證，而不是密碼。

注意：在本示例中，選擇預共用金鑰。

步驟 13.在預共用金鑰欄位中輸入VPN連線的預共用金鑰。

步驟14.（可選）如果要為VPN連線使用簡單密碼，請取消選中Minimum Preshared Key Complexity覈取方塊Enable。預設情況下會選中此項。

步驟15。（可選）選中Show plain text when edit Enable覈取方塊以純文字檔案顯示預共用金鑰。預設情況下未選中此項。

步驟 16.從遠端路由器的Local Identifier Type下拉選單中選擇遠端網路的識別符號型別。選項包括：

• 本地WAN IP — 此選項將通過介面的WAN IP標識遠端網路。
• IP地址 — 此選項將通過本地IP地址標識遠端網路。
• 本地FQDN — 此選項將通過FQDN標識遠端網路（如果具有FQDN）。
• 本地使用者FQDN — 此選項將通過使用者的FQDN（可以是其電子郵件地址）來標識遠端網路。

注意：在本例中，選擇了IP地址。

步驟 17.在遠端路由器的本地識別符號欄位中輸入遠端網路的識別符號。

注意：在本示例中，輸入的是124.123.122.123。

步驟 18.從Local IP Type下拉選單中，選擇VPN客戶端可以訪問的IP地址型別。選項包括：

• 子網 — 此選項允許VPN的本地端訪問指定子網中的遠端主機。
• IP地址(IP Address) — 此選項允許VPN的本地端訪問具有指定IP地址的遠端主機。
• Any — 此選項允許VPN的本地端訪問任何遠端主機。

註：在本示例中，選擇了子網。

步驟 19.在「IP Address」欄位中輸入要由VPN客戶端訪問的網路或主機的IP地址。

注意：在本例中，IP地址為192.168.2.1。

步驟 20.在Subnet Mask欄位中輸入IP地址的子網掩碼。

注意：在本例中，子網掩碼為255.255.255.0。

步驟 21.從下拉選單中選擇Local Identifier Type。選項包括：

• 遠端WAN IP — 此選項將通過介面的WAN IP標識本地網路。
• 遠端FQDN — 此選項將通過FQDN標識本地網路（如果它有一個）。
• 遠端使用者FQDN — 此選項將通過使用者的FQDN（可以是其電子郵件地址）標識本地網路。

注意：在本示例中，選擇遠端WAN IP。

步驟 22.按一下「Apply」。

步驟 23.按一下「Save」。

您現在應該在遠端路由器上配置VPN設定。

修訂記錄

修訂	發佈日期	意見
1.0	10-Dec-2018	初始版本