交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
如图所示:企业网中,NGFW防火墙以路由模式串接在当前的内网中,出口是EG路由器(内网访问外网进行了NAT转换),对端的出口设备是一台WALL160T防火墙,两端需要建立IPSEC隧道来实现互访。
各参数配置如下,两端需一致:
模式:主模式;
认证方式:RSA签名
IKE算法:3DES-MD5,DH2
IPSec协商交互方案:esp(3des-md5)
二、网络拓扑
三、配置要点
NGFW和WALL 160T防火墙做数字证书方式的IPSEC VPN对接,需要使用RG-CMS证书管理系统来颁发根证书和生成用户证书
1 、安装RG-CMS证书管理系统(安装过程见附录"RG-CMS证书管理系统的安装"),并为NGFW和WALL 160T防火墙生成根证书和用户证书
a、先导出根证书,后续要同时导入到NGFW和WALL 160T
b、为NGFW生成用户证书
c、为WALL160T生成用户证书
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
b、配置IPSEC VPN
c、配置与IPSEC安全策略
d、保存配置
3、配置WALL 160T
a、为WALL 160T导入设备的CA根证书和本地设备证书
b、配置IPSEC VPN
c、配置与IPSEC相关的安全规则
4、配置EG路由器
a、配置基本的上网功能
b、配置端口的映射
将NGFW的管理地址的UDP500和4500端口映射到外网
c、配置静态路由和默认路由
5、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
注意事项:NAT穿越不支持AH封装,故在配置第二阶段交互时,注意AH封装应选择NULL。
四、操作步骤
a、先导出根证书,后续要同时导入到NGFW和WALL 160T
点击导出,放在本地新建的一个文件夹里,生成一个”mycacert.pem"
b、为NGFW生成用户证书
用户类型选择”网关用户“
将生成的证书导出:选择所添加的用户,右击鼠标,选择导出证书和私钥:
选择PEM类型:
生成如下两个文件:
c、为WALL160T生成用户证书
生成证书的过程与NGFW的类似,最终生成的文件如下
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
为NGFW设备导入CA根证书:在VPN> 本地证书> CA
导入刚才所生成的根证书:mycacert.pem
在VPN> 本地证书> 本地证书
采用证书密钥分离类型:
证书文件导入16.pem,密钥文件导入16.key:
密码:不必填写
b、配置IPSEC VPN
配置IPSEC的第一阶段协商
配置IPSEC的第二阶段协商参数
c、配置与IPSEC相关的安全策略
进入菜单---防火墙---安全策略---安全策略---新建
d、保存配置
2、配置WALL 160T
a、为WALL 160T导入设备的CA根证书和本地设备证书
导入刚才所生成的根证书:mycacert.pem
证书文件:17.pem
密钥文件:17.key
导入对端NGFW的设备证书:16.pem
b、配置IPSEC
启用IPSec VPN功能
配置IKE协商策略,主要配置对端地址,认证方式,协商参数
配置VPN隧道(即IPSEC的第二阶段参数设置)
c、配置与IPSEC安全规则
与IPSEC相关的安全规则务必调整到其他规则的前面,保证IPSEC流量能正常被匹配到进入菜单--安全策略--安全规则--添加
新建包过滤:放通IKE服务
新建包过滤:允许192.168.1.0/24网段通过160t的IPSec vpn访问192.168.2.0/24
新建包过滤:允许192.168.2.0/24网段通过160t的IPSec vpn访问192.168.1.0/24
4、配置出口EG路由器
a、配置基本的上网功能
配置匹配NAT的ACL:
ip access-list standard 1
10 permit any
配置内网口IP地址:
interface GigabitEthernet 0/0
ip nat inside
ip address 10.10.10.1 255.255.255.0
配置外网口IP地址:
interface GigabitEthernet 0/1
ip nat outside
ip address 192.168.56.133 255.255.255.0
配置NAT地址池:
ip nat pool nat_pool prefix-length 24
address 192.168.56.133 192.168.56.133 match interface GigabitEthernet 0/1
ip nat inside source list 1 pool nat_pool overload
b、配置端口映射:将NGFW的管理地址的UDP500和4500端口映射到外网
ip nat inside source static udp 10.10.10.2 500 192.168.56.133 500
ip nat inside source static udp 10.10.10.2 4500 192.168.56.133 4500
c、配置静态路由和默认路由
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 192.168.56.129
ip route 192.168.1.0 255.255.255.0 10.10.10.2 //配置静态回指路由
五、验证效果
进入菜单--VPN--IPSec--监控器,可查VPN建立的两个阶段是否成功。
如下图所示:两个阶段分别建立成功
wall160t的系统监控--IPSecVPN隧道监控:
192.168.2.0/24网段ping192.168.1.14: