交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
如下图所示,NGWF-A与wall160建立ipsec vpn,让NGFW-A的内网网段192.168.1.0/24与wall160的内网网段192.168.2.0/24能互相通信。
各参数配置如下,两端需一致:
模式:主模式;
认证方式:RSA签名
IKE算法:3DES-MD5,DH2
IPSec协商交互方案:esp(3des-md5)
二、网络拓扑
三、配置要点
NGFW和WALL 160T防火墙做数字证书方式的IPSEC VPN对接,需要使用RG-CMS证书管理系统来颁发根证书和生成用户证书
1 、安装RG-CMS证书管理系统(安装过程参见附件的“RG-CMS证书管理系统的安装”),为NGFW和WALL 160T防火墙生成根证书和用户证书
a、先导出根证书,后续要同时导入到NGFW和WALL 160T
b、为NGFW生成用户证书
c、为WALL160T生成用户证书
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
b、配置IPSEC VPN
c、配置与IPSEC安全策略
d、保存配置
3、配置WALL 160T
a、为WALL 160T导入设备的CA根证书和本地设备证书
b、配置IPSEC VPN
c、配置与IPSEC相关的安全规则
4、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
四、操作步骤
1 、安装RG-CMS证书管理系统(安装过程参见附件的“RG-CMS证书管理系统的安装”),为NGFW和WALL 160T防火墙生成根证书和用户证书
a、先导出根证书,后续要同时导入到NGFW和WALL 160T
点击导出,放在本地新建的一个文件夹里,生成一个”mycacert.pem"
b、为NGFW生成用户证书
用户类型选择”网关用户“
将生成的证书导出:选择所添加的用户,右击鼠标,选择导出证书和私钥:
选择PEM类型:
生成如下两个文件:
c、为WALL160T生成用户证书
生成证书的过程与NGFW的类似,最终生成的文件如下
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
为NGFW设备导入CA根证书:在VPN> 本地证书> CA
导入刚才所生成的根证书:mycacert.pem
在VPN> 本地证书> 本地证书
采用证书密钥分离类型:
证书文件导入16.pem,密钥文件导入16.key:
密码:不必填写
b、配置IPSEC VPN
配置IPSEC的第一阶段协商
配置IPSEC的第二阶段协商参数
c、配置与IPSEC相关的安全策略
进入菜单---防火墙---安全策略---安全策略---新建
d、保存配置
2、配置WALL 160T
a、为WALL 160T导入设备的CA根证书和本地设备证书
导入刚才所生成的根证书:mycacert.pem
证书文件:17.pem
密钥文件:17.key
导入对端NGFW的设备证书:16.pem
b、配置IPSEC
启用IPSec VPN功能
配置IKE协商策略,主要配置对端地址,认证方式,协商参数
配置VPN隧道(即IPSEC的第二阶段参数设置)
c、配置与IPSEC安全规则
与IPSEC相关的安全规则务必调整到其他规则的前面,保证IPSEC流量能正常被匹配到进入菜单--安全策略--安全规则--添加
新建包过滤:放通IKE服务
新建包过滤:允许192.168.1.0/24网段通过160t的IPSec vpn访问192.168.2.0/24
新建包过滤:允许192.168.2.0/24网段通过160t的IPSec vpn访问192.168.1.0/24
五、验证效果
进入菜单--VPN--IPSec--监控器,可查VPN建立的两个阶段是否成功。
如下图所示:两个阶段分别建立成功
wall160t的系统监控--IPSecVPN隧道监控:
192.168.2.0/24网段ping192.168.1.14: