锐捷睿易 锐捷官方商城

中文

产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机

园区网交换机

园区网交换机

数据中心与云计算交换机

数据中心与云计算交换机

中小网络精简型交换机

中小网络精简型交换机

工业交换机

工业交换机

意图网络指挥官

意图网络指挥官

SDN

SDN

配件

配件
查看交换机首页 >

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器

核心路由器

核心路由器

汇聚路由器

汇聚路由器

接入路由器

接入路由器

移动路由器

移动路由器

路由器应用软件

路由器应用软件

中小网络路由器

中小网络路由器
查看路由器首页 >

所有技术解决方案

无线

无线所有产品
< 返回产品
无线

放装型无线接入点

放装型无线接入点

墙面型无线接入点

墙面型无线接入点

智分无线接入点

智分无线接入点

室外无线接入点

室外无线接入点

场景化无线

场景化无线

无线控制器

无线控制器

小锐A系列

小锐A系列

无线管理与应用

无线管理与应用
查看无线首页 >

所有技术解决方案

物联网

物联网所有产品
< 返回产品
物联网

物联网基站/网关

物联网基站/网关
查看物联网首页 >

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面

云终端系列

云终端系列

云主机系列

云主机系列

云桌面软件系列

云桌面软件系列

配件系列

配件系列
查看云桌面首页 >

所有技术解决方案

安全

安全所有产品
< 返回产品
安全

大数据安全平台

大数据安全平台

下一代防火墙

下一代防火墙

安全网关

安全网关

检测管理安全

检测管理安全

应用防护安全

应用防护安全

安全服务

安全服务
查看安全首页 >

所有技术解决方案

统一运维

统一运维所有产品
< 返回产品
统一运维

IT运维产品

IT运维产品
查看统一运维首页 >

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理

安全管理系列

安全管理系列

运营管理系列

运营管理系列

身份中台

身份中台
查看身份管理首页 >

服务产品

服务产品所有产品
< 返回产品
服务产品

基础实施服务

基础实施服务

基础维护服务

基础维护服务

运维管理服务

运维管理服务

整网服务

整网服务

安全服务

安全服务

备件与扩容服务

备件与扩容服务

培训与认证服务

培训与认证服务
查看服务产品首页 >
产品中心首页 >

官方商城

锐捷睿易

体验中心
行业
行业中心
< 返回主菜单
行业

运营商

运营商
< 返回行业
运营商
运营商首页 >

政府

政府
< 返回行业
政府
政府首页 >

金融

金融
< 返回行业
金融
金融首页 >

互联网

互联网
< 返回行业
互联网
互联网首页 >

电力能源

电力能源
< 返回行业
电力能源
电力能源首页 >

制造业

制造业
< 返回行业
制造业
制造业首页 >

高教/职教

高教/职教
< 返回行业
高教/职教
高教/职教首页 >

普教

普教
< 返回行业
普教
普教首页 >

医疗卫生

医疗卫生
< 返回行业
医疗卫生
医疗卫生首页 >

交通

交通
< 返回行业
交通
交通首页 >

地产酒店文旅·连锁服务

地产酒店文旅·连锁服务
< 返回行业
地产酒店文旅·连锁服务
地产酒店文旅·连锁服务·场馆园区首页 >

公共安全

公共安全
< 返回行业
公共安全
公共安全首页 >
行业中心首页 >

锐捷睿易

体验中心
服务支持
< 返回主菜单
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
合作伙伴
< 返回主菜单
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
关于锐捷
< 返回主菜单
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
投资者关系
登录 登录 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
中文 English 日本語 Türkçe việt nam Indonesi ภาษาไทย Español Português Français Polski România Pусский Deutsch Italiano

首页 >服务与支持 >常见问题 >【WALL1600下一代防火墙】下一代防火墙数字证书方式NGFW(路由)+V1600S(透明)

【WALL1600下一代防火墙】下一代防火墙数字证书方式NGFW(路由)+V1600S(透明)

发布时间:2013-09-11
点击量:2257

一、组网需求

    某集团公司有两个子公司,A子公司的出口设备是路由器,内网有一台VPN网关设备,B子公司的出口设备是NGFW防火墙,两个子公司之间的内网要通过IPSEC VPN隧道实现互相访问。

 

二、网络拓扑

 

三、配置要点

     建议先确认在没配置IPSEC之前,两端的网络都是能正常访问互联网,基本的上网配置这里不赘述

     本案例测试的设备说使用的软件版本:V1600S: 2.60.07  ;   NGFW:  20120614   (本案例对主模式和野蛮模式都支持)

     NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备(必须是NGFW设备,其它设备不行)颁发CA根证书和用户设备证书,本案例中由于两台设备不是同种类型的设备,所以只能借助我司的RG-CMS证书管理系统来代为生成CA根证书和用户设备证书。

      1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发根证书和生成用户证书

      a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书

      b、为NGFW生成用户证书,用户类型“网关用户”

      c、为V1600S生成用户证书,用户类型“网关用户”

       2、配置NGFW

       a、为NGFW导入CA根证书和本地设备证书。

      b、配置IKE协商策略(第一阶段),两端设备设置的协商参数必须一致

      由于V1600S的IKE阶段协商参数是自适应的,也就是说对端设置任何一种算法,它都能与之匹配,所以本案例中NGFW的IKE协商阶段的算法可以任意设置(除了DH参数除外)

      c、配置IPSEC协商策略(第二阶段),两端设备设置的协商参数必须一致

      d、配置与IPSEC相关的安全策略

      3、配置出口路由器(上图拓扑中左边的出口路由器)

     a、配置内网接口

     b、配置外网接口

     c、配置NAT地址转换

     d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)

     e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )

     映射VPN网关设备的端口是为了管理员在外网也可以管理VPN网关设备

       4、配置V1600S

      a、为V1600S导入CA根证书和本地设备证书

      b、添加VPN设备(第一阶段),两端设备设置的协商参数必须一致(本案例中,只需注意DH组参数的设置要一致即可)

     c、添加VPN隧道(第二阶段),两端设备设置的协商参数必须一致

     d、设置高级选项(选择IPSEC协商策略为默认直接放行)

      5、VPN建立失败基本排查思路:

           a、第一阶段建立失败:

           检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。

           检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;

          b、若第一阶段建立成功,第二阶段建立失败:

          检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;

           c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

注意事项:NGFW做出口,VPN做桥,必须VPN主动发起

 

四、操作步骤

      本案例是在两端网络都已经能正常上网的前提下配置的,所以基本的用户上网配置就不再赘述。

1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发CA根证书和生成用户证书(安装的操作请参考IPSEC VPN >RG-CMS证书管理系统的安装说明)

a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书

 

生成的CA根证书名称为“mycert.pem"

 

b、为NGFW生成用户证书,用户类型“网关用户”

 

选中此新增用户,右击鼠标,点击“生成证书”

 

再次右击,选择“导出证书和私钥”

 

导出证书类型有两种,两种都导出来

 c、为V1600S生成用户证书

 

选中此新增用户,右击鼠标,点击“生成证书”

 

再次右击,选择“导出证书和私钥”

 

 

导出证书类型有两种,两种都导出来

 2、配置NGFW

a、为NGFW导入CA根证书和本地设备证书。

VPN> 本地证书 >CA   ,如果已存在有旧的CA根证书,那么请先把旧的删掉

 

本地证书导入的是NGFW的 *.pem和*.key两个文件

VPN> 本地证书 >本地证书  (下图中的密码可以不填写)

 

b、配置IKE协商策略(第一阶段)

网关名称:to_v1600s (自定义名称 )  ;对端网关:动态IP地址

认证方式:“RSA签名 ”

证书:选择之前导入的本地证书(此处证书的名称前缀是“2”)

IKE协商:  加密算法-3DES  ;  认证:MD5  ;  DH组:2

 

c、配置IPSEC协商策略(第二阶段)

对端网关:上一步设置的“to-v1600s"

 

 

d、配置与IPSEC相关的安全策略

第一条策略为IPSEC的相关安全策略 ,本地子网:NGFW的内网用户网段,对端子网:V1600S的内网用户网段

第二条策略设置的目的是允许任何数据经过防火墙(本案例是实验环境,建议用户针对实际的网络环境设置明细的IP地址段)

    

 

 

 

最终的策略排序如下:

3、配置出口路由器(上图拓扑中左边的出口路由器)

a、配置内网接口

interface FastEthernet 0/0

  ip nat inside

 ip address 1.1.10.1 255.255.255.0

b、配置外网接口

interface FastEthernet 0/1

  ip nat outside

  ip address 172.18.10.201 255.255.255.0

c、配置NAT地址转换

ip access-list extended 101

   10 permit ip any any 

ip nat inside source list 101 pool test 

ip nat pool test prefix-length 24

      address 172.18.10.201 172.18.10.201 match interface FastEthernet 0/1

d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)

ip route 0.0.0.0    0.0.0.0  172.18.10.1     //配置去往外网的默认路由

e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )

ip nat inside source static tcp 1.1.10.2 666 172.18.10.201 666        //映射V1600S的管理端口:666

ip nat inside source static udp 1.1.10.2 500 172.18.10.201 500      //映射IPSEC协商的500端口

ip nat inside source static udp 1.1.10.2 4500 172.18.10.201 4500  //映射IPSEC协商的4500端口

 

 

4、配置V1600S

a、为V1600S导入CA根证书和本地设备证书

 

点击以上的证书管理,进入如下界面,再点击”导入“

 

导入RG-CMS系统为V1600S生成的用户证书

 

 

导入下图中“2.pem”文件就行

 b、添加VPN设备(第一阶段)

IPSEC VPN > 添加设备 > 设备信息 :

本地接口:V1600S的外网接口   ;对端地址:NGFW的外网接口IP地址       ;     认证方式:数字证书

本地标识---数字证书主题:选择之前导入的本地用户证书

对端标识---数字证书主题:选择NGFW的用户证书“1.pem”

 

 

点击上图中的高级选项:IPSEC VPN > 添加设备 > 高级选项

 

配置完之后要在设备管理读取下配置,将证书写入flash:然后重载下证书

 

 

 

c、添加VPN隧道(第二阶段)

先选中之前新添加的“设备”,然后点击“添加隧道”配置隧道信息

本地子网:V1600S的内网用户网段    ;   对方子网: NGFW的内网用户网段   ; 勾选“自动启动"

通信策略:选择3DES+HMAC_MD5(与NGFW的参数选择一致)

          

 

d、设置高级选项(选择IPSEC协商策略为默认直接放行)

 

五、配置验证

  从V1600S的内网去 ping 对端 NGFW的内网用户主机,然后查看NGFW的IPSEC 监视器,协商成功的状态显示如下

 

 

V1600S的隧道通信状态如下:

 

 

相关产品
RG-MF2920系列,2口千兆电,千兆上行,一机双网

RG-MF2920系列,2口千兆电,千兆上行,一机双网
RG-S5310-E系列,24口千兆电,万兆上行,接入层

RG-S5310-E系列,24口千兆电,万兆上行,接入层
RG-S5310-E系列,24口千兆光,万兆上行,接入层

RG-S5310-E系列,24口千兆光,万兆上行,接入层
RG-S5310-E系列,48口千兆电,万兆上行,接入层

RG-S5310-E系列,48口千兆电,万兆上行,接入层
RG-S5310-E系列,48口千兆光,万兆上行,接入层

RG-S5310-E系列,48口千兆光,万兆上行,接入层
RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列新一代千兆交换机
RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层

RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层
RG-S7800C系列融合核心交换机

RG-S7800C系列融合核心交换机
RG-S7800C-X系列新一代融合核心交换机

RG-S7800C-X系列新一代融合核心交换机
RG-N18006-X,6槽机箱,核心层,零背板

RG-N18006-X,6槽机箱,核心层,零背板
RG-S6120系列,24口万兆光,25G上行,汇聚层

RG-S6120系列,24口万兆光,25G上行,汇聚层
RG-S6120系列,48口万兆光,100G上行,汇聚层

RG-S6120系列,48口万兆光,100G上行,汇聚层
RG-S6120系列融合万兆交换机

RG-S6120系列融合万兆交换机
RG-EG3250新一代多业务安全网关

RG-EG3250新一代多业务安全网关
RG-EG3230新一代多业务安全网关

RG-EG3230新一代多业务安全网关
RG-EG3220新一代多业务安全网关

RG-EG3220新一代多业务安全网关
RG-EG3210 V2新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关
RG-EG3210新一代多业务安全网关

RG-EG3210新一代多业务安全网关
RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-AP820-L(V3)双射频Wi-Fi 6无线AP
RG-WS7005-A多业务无线AC

RG-WS7005-A多业务无线AC
RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP
RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP
RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP
RG-WS7208-A多业务无线AC

RG-WS7208-A多业务无线AC
RG-AP880-I双射频Wi-Fi 6无线AP

RG-AP880-I双射频Wi-Fi 6无线AP
RG-WS7880高性能无线AC

RG-WS7880高性能无线AC
RG-EG2100-P V2全能PoE网关

RG-EG2100-P V2全能PoE网关
RG-N18000-X系列

RG-N18000-X系列
RG-N18010-X,10槽机箱,核心层,零背板

RG-N18010-X,10槽机箱,核心层,零背板
RG-EG3000XE新一代高性能综合网关

RG-EG3000XE新一代高性能综合网关
RG-EG3000UE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关
RG-WS6816高性能无线AC

RG-WS6816高性能无线AC
RG-WS6108高性能无线AC

RG-WS6108高性能无线AC
RG-EG3000GE新一代高性能综合网关

RG-EG3000GE新一代高性能综合网关
RG-EG3000ME新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关
RG-EG3000SE新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关
RG-EG3000CE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关
RG-EG2000F

RG-EG2000F
RG-S2900G-E V3系列千兆交换机

RG-S2900G-E V3系列千兆交换机
RG-S2952G-E V3,48口千兆电,千兆上行,接入层

RG-S2952G-E V3,48口千兆电,千兆上行,接入层
您可能还关注的问题

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式