产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【WALL1600下一代防火墙】下一代防火墙数字证书方式NGFW+V1600S

发布时间:2013-09-11
点击量:2062

一、组网需求

       某集团的两个子公司之间要建立点对点的IPSEC VPN隧道来实现各自内网间互相访问,其中一端使用的是NGFW防火墙,另外一端使用RG-WALL V1600S 网关设备。

      各参数配置如下,两端参数需保持一致:

      模式:主模式

      认证方式:RSA签名

      IKE算法:3DES-MD5,DH2

      IPSec协商交互方案:esp(3des-md5)

 

二、网络拓扑

 

三、配置要点

       1、安装RG-CMS证书管理系统(安装过程参见附件的“RG-CMS证书管理系统的安装“),为NGFW和V1600S颁发根证书和生成用户证书

        a、先导出根证书,后续要同时导入到NGFW和V1600S

        b、为NGFW生成用户证书

        c、为V1600S生成用户证书

      2、配置NGFW

       a、为NGFW导入CA根证书和本地设备证书。

       b、配置IKE协商策略(第一阶段)

       c、配置IPSEC协商策略(第二阶段)

       d、配置与IPSEC相关的安全策略

       3、配置V1600S

        a、为V1600S导入CA根证书和本地设备证书

        b、添加VPN设备(第一阶段)

        c、添加VPN隧道(第二阶段)

        d、设置高级选项(选择IPSEC协商策略为默认直接放行)

       4、VPN建立失败基本排查思路:

           a、第一阶段建立失败:

          检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。

          检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;

          b、若第一阶段建立成功,第二阶段建立失败:

          检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;

           c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

 

四、操作步骤

      1、安装RG-CMS证书管理系统(安装过程参见附件的“RG-CMS证书管理系统的安装“),为NGFW和V1600S颁发根证书和生成用户证书

a、先导出根证书,后续要同时导入到NGFW和WALL 160T

 

生成的CA根证书名称为“mycert.pem"

b、为NGFW生成用户证书,用户类型选择”网关用户“

选中此新增用户,右击鼠标,点击“生成证书”

再次右击,选择“导出证书和私钥”,将类型PEM和类型PKCS#12分别导出

两种类型导出后如下:2.pem为PEM类型所导出的,2和2.key为PKCS#12类型所导出的:

c、为V1600S生成用户证书

选中此新增用户,右击鼠标,点击“生成证书”

 

再次右击,选择“导出证书和私钥",将类型PEM和类型PKCS#12分别导出:

两种类型导出后如下:1.pem为PEM类型所导出的,1和1.key为PKCS#12类型所导出的:

 

       2、配置NGFW

a、为NGFW导入CA根证书和本地设备证书。

导入根证书:

VPN> 本地证书 >CA

导入刚才所生成的根证书:mycacert.pem

导入本地证书:

VPN> 本地证书 >本地证书 

本地证书导入的是为NGFW生成的 2.pem和2.key两个文件 ,(下图中的密码可以不填写)

b、配置IKE协商策略(第一阶段)

网关名称:V1600S (自定义名称 )  ;对端网关:V1600S的外网接口IP地址

认证方式:“RSA签名 ”

证书:选择之前导入的本地证书(此处证书的名称前缀是“2”)

IKE协商:  加密算法-3DES  ;  认证:MD5  ;  DH组:2

c、配置IPSEC协商策略(第二阶段)

对端网关:上一步设置的“V160"

d、配置IPSEC安全策略

       3、配置V1600S

a、为V1600S导入CA根证书和本地设备证书

点击以上的证书管理,进入如下界面,再点击”导入“

导入刚才所生成的根证书:mycacert.pem

导入RG-CMS系统为V1600S生成的用户证书

 

导入下图中“2.pem”文件就行

b、添加VPN设备(第一阶段)

本地接口:V1600S的外网接口   ;对端地址:NGFW的外网接口IP地址       ;     

认证方式:数字签名

本地标识---数字证书主题:选择之前导入的本地用户证书

对端标识---数字证书主题:选择NGFW的用户证书“1.pem”

点击上图中的高级选项

配置完之后要在设备管理读取下配置,将证书写入flash:然后重载下证书

,将证书写入flash:然后重载下证书

c、添加VPN隧道(第二阶段)

d、设置高级选项(选择IPSEC协商策略为默认直接放行)

 

五、验证效果

从NGFW本地去ping V1600S的内网用户主机

本案例中,如果把两端设备IPSEC第一阶段协商的模式都选择为野蛮模式,也是可以正常通信

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式