交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
某集团的两个子公司之间要建立点对点的IPSEC VPN隧道来实现各自内网间互相访问,其中一端使用的是NGFW防火墙,另外一端使用RG-WALL V1600S 网关设备。
各参数配置如下,两端参数需保持一致:
模式:主模式
认证方式:RSA签名
IKE算法:3DES-MD5,DH2
IPSec协商交互方案:esp(3des-md5)
二、网络拓扑
三、配置要点
1、安装RG-CMS证书管理系统(安装过程参见附件的“RG-CMS证书管理系统的安装“),为NGFW和V1600S颁发根证书和生成用户证书
a、先导出根证书,后续要同时导入到NGFW和V1600S
b、为NGFW生成用户证书
c、为V1600S生成用户证书
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
b、配置IKE协商策略(第一阶段)
c、配置IPSEC协商策略(第二阶段)
d、配置与IPSEC相关的安全策略
3、配置V1600S
a、为V1600S导入CA根证书和本地设备证书
b、添加VPN设备(第一阶段)
c、添加VPN隧道(第二阶段)
d、设置高级选项(选择IPSEC协商策略为默认直接放行)
4、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
四、操作步骤
1、安装RG-CMS证书管理系统(安装过程参见附件的“RG-CMS证书管理系统的安装“),为NGFW和V1600S颁发根证书和生成用户证书
a、先导出根证书,后续要同时导入到NGFW和WALL 160T
生成的CA根证书名称为“mycert.pem"
b、为NGFW生成用户证书,用户类型选择”网关用户“
选中此新增用户,右击鼠标,点击“生成证书”
再次右击,选择“导出证书和私钥”,将类型PEM和类型PKCS#12分别导出
两种类型导出后如下:2.pem为PEM类型所导出的,2和2.key为PKCS#12类型所导出的:
c、为V1600S生成用户证书
选中此新增用户,右击鼠标,点击“生成证书”
再次右击,选择“导出证书和私钥",将类型PEM和类型PKCS#12分别导出:
两种类型导出后如下:1.pem为PEM类型所导出的,1和1.key为PKCS#12类型所导出的:
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
导入根证书:
VPN> 本地证书 >CA
导入刚才所生成的根证书:mycacert.pem
导入本地证书:
VPN> 本地证书 >本地证书
本地证书导入的是为NGFW生成的 2.pem和2.key两个文件 ,(下图中的密码可以不填写)
b、配置IKE协商策略(第一阶段)
网关名称:V1600S (自定义名称 ) ;对端网关:V1600S的外网接口IP地址
认证方式:“RSA签名 ”
证书:选择之前导入的本地证书(此处证书的名称前缀是“2”)
IKE协商: 加密算法-3DES ; 认证:MD5 ; DH组:2
c、配置IPSEC协商策略(第二阶段)
对端网关:上一步设置的“V160"
d、配置IPSEC安全策略
、
3、配置V1600S
a、为V1600S导入CA根证书和本地设备证书
点击以上的证书管理,进入如下界面,再点击”导入“
导入刚才所生成的根证书:mycacert.pem
导入RG-CMS系统为V1600S生成的用户证书
导入下图中“2.pem”文件就行
b、添加VPN设备(第一阶段)
本地接口:V1600S的外网接口 ;对端地址:NGFW的外网接口IP地址 ;
认证方式:数字签名
本地标识---数字证书主题:选择之前导入的本地用户证书
对端标识---数字证书主题:选择NGFW的用户证书“1.pem”
点击上图中的高级选项
配置完之后要在设备管理读取下配置,将证书写入flash:然后重载下证书
,将证书写入flash:然后重载下证书
c、添加VPN隧道(第二阶段)
d、设置高级选项(选择IPSEC协商策略为默认直接放行)
五、验证效果
从NGFW本地去ping V1600S的内网用户主机
本案例中,如果把两端设备IPSEC第一阶段协商的模式都选择为野蛮模式,也是可以正常通信