【WALL1600下一代防火墙】下一代防火墙数字证书方式NGFW+NGFW

发布时间: 2013-09-11 点击量:565 打印 字体:

一、组网需求

      如下图所示,NGWF-A与NGFW-B建立ipsec vpn,让NGFW-A的内网网段192.168.3.0/24与NGFW-B的内网网段192.168.1.0/24能互相通信。

     各参数配置如下,两端需一致:

     模式:主模式;

     认证方式:RSA签名

     IKE算法:3DES-MD5,DH2

     IPSec协商交互方案:esp(3des-md5)

 

二、网络拓扑

       

 

三、配置要点

        1、配置NGFW-A

              a、生成CA证书、本地证书、签发证书

       本地证书需生成两份,证书签发后才有效。

              b、导入CA证书、本址证书

              c、配置IKE协商策略

       认证方式:RSA签名

              d、配置IPSEC协商策略 

              e、配置IPSec安全策略

              f、保存配置

        2、配置NGFW-B

              a、导入CA证书、本址证书

              b、配置IKE协商策略

       认证方式:RSA签名

              c、配置IPSEC协商策略 

              d、配置IPSec安全策略

             e、保存配置

         3、VPN建立失败基本排查思路:

           a、第一阶段建立失败:

     检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。

                检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;

           b、若第一阶段建立成功,第二阶段建立失败:

      检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;

           c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

 

四、操作步骤

       1、配置NGFW1

              a、生成CA证书、本地证书

                   

点击确定:

      

填写证书名称等信息

            

提交后证书即生成,接着将此CA证书导出:

         

导出PEM类型的证书

                   

生成用户证书:

            

分别生成160cc1和160cc2两份证书:

            

          

将生成的证书签发:

将证书签发后导出到本地保存:

                   

导出的证书包括:根证书、用户证书

                    

              b、导入CA证书、本址证书

                   

                   

                   

                   

              c、配置IKE协商策略

                   

                   

                   

              d、配置IPSEC协商策略 

           

            

          e、配置安全策略

            

         

           

f、保存配置

        2、配置NGFW2

              a、导入CA证书、本址证书

                   

       

        

                   

              b、配置IKE协商策略,主要配置对端地址,认证方式,协商参数

                   

                   

                   

              c、配置IPSEC协商策略 

                   

                   

              d、配置安全策略

                   

                   

               

                 

               e、保存配置

 

五、验证效果

        

        

        

       

 

00 分享 纠错
相关条目