产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【WALL1600下一代防火墙】下一代防火墙VPN功能配置预共享密钥方式IPSec vpn预共享密钥方式NGFW(路由)+NGFW(透明)

发布时间:2013-09-14
点击量:2313

一、组网需求

    如下图所示:NGFW1作为桥模式串在出口路由和核心交换机之间,NGFW1与NGFW2之间建立IPSec VPN,实现两个局域网间的安全通信。

    各参数配置如下,两端参数需保持一致:

    模式:主模式;

    认证方式:数字证书

    IKE算法:DES-MD5,DH2

    IPSec协商交互方案:esp(3des-md5)

    完美向前:group2

 

二、网络拓扑

        

 

三、配置要点

       1、配置NGFW1

             a、配置基本上网

             NGFW上需添加静态路由:目的地址为192.168.1.0/24下一跳指向核心交换机的上联口192.168.2.3  

             b、配置IKE协商

             本地ID填写出口路由器的公网IP地址172.18.10.77

             c、配置ipsec协商

             d、配置IPSec安全策略

             e、保存配置

       2、配置NGFW2

             a、配置基本上网

             b、配置IKE协商

             c、配置ipsec协商

             d、配置IPSec安全策略

             e、保存配置

        3、配置路由器

            a、配置内网口地址

            b、配置外网口地址

            c、配置NAT地址池

            d、配置默认路由和静态路由

            e、配置端口映射

            将NGFW的管理地址192.168.2.1的UDP500、4500端口映射到外网:

            ip nat inside source static udp 192.168.2.1 500 172.18.10.77 500

            ip nat inside source static udp 192.168.2.1 4500 172.18.10.77 4500

        4、配置三层交换机

          a、配置上联口f0/48

          b、新建vlan10,配置int vlan 10地址,将相应接口划分到vlan10里

          c、配置默认路由、静态路由

           核心交换机上需配置静态路由:目的地址为192.168.3.0/24下一跳指向NGFW的管理地址192.168.2.1 (确保VPN的流量来回路径一致)

       5、VPN建立失败基本排查思路:

           a、第一阶段建立失败:

          检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。

          检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;

          b、若第一阶段建立成功,第二阶段建立失败:

           检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;

           c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

 

四、操作步骤

       1、配置NGFW1

            a、配置基本上网

               配置透明桥

               

               

              配置地址资源

               进入菜单--资源管理--地址资源--地址节点--新建

              

               

               

               

               配置内网上网安全策略:

   进入菜单---防火墙---安全策略---安全策略---新建

           

               接口选择透明桥,即第一步所设置的透明桥名“test”。

               源地址选择内网允许通过的网段地址资源“PC1”

               动作选择“permit”。

               

              配置默认路由

              进入菜单--网络管理--基本配置--缺省网关--新建

              

              

配置目的地址为192.168.1.0/24,下一跳指向三层交换机上联口地址的静态路由:

            

           

             b、配置IKE协商

 进入菜单---VPN配置---自动模式(IKE)---选择刚才建好的NGFW-B的网关名,点击“新建IPSEC协商”

             

             

                  

             c、配置ipsec协商

      进入菜单---VPN配置---自动模式(IKE)---选择刚才建好的NGFW2的网关名,点击“新建IPSEC协商”

                  

             d、配置安全策略

      进入菜单---防火墙---安全策略---安全策略---新建

              

      源接口和目的接口都选择桥接口名称“test”;

      动作IPSec;

      VPN通道选择刚才所建的VPN通道名称“NGFW1”:

                  

                  

f、保存配置

     

       2、配置NGFW2

             a、配置基本上网

      配置接口地址:

                  

    配置默认路由:

                  

    配置NAT规则:

                  

    配置地址节点:

                  

             b、配置IKE协商

                  

                                   

             c、配置ipsec协商

                  

                  

             d、配置安全策略

         进入菜单---防火墙---安全策略---安全策略---新建

              

      配置PC2访问PC1通过IPSec VPN通道test1:

                  

     配置内网上网安全策略:

                  

   安全策略配置后务必在全局“启用”此策略:

                  

f、保存配置

     

      3、 配置路由器

     a、配置内网口地址

          interface GigabitEthernet 0/3

 ip nat inside

          ip address 192.168.2.2 255.255.255.0

    b、配置外网口地址

          interface GigabitEthernet 0/4

          ip nat outside

          ip address 172.18.10.77 255.255.255.0

    c、配置NAT地址池及NAT转换

          ip nat pool ruijie prefix-length 24

          address 172.18.10.77 172.18.10.77 match interface GigabitEthernet 0/4

          ip nat inside source list 1 pool ruijie

    d、配置默认路由和静态路由 

           ip route 0.0.0.0 0.0.0.0 172.18.10.1

           ip route 192.168.1.0 255.255.255.0 192.168.2.3  --配置目的地址为192.168.1.0/24网段的下一跳为核心交换机的上联口地址192.168.2.3

    e、配置端口映射     

           ip nat inside source static udp 192.168.2.1 500 172.18.10.77 500

           ip nat inside source static udp 192.168.2.1 4500 172.18.10.77 4500

      4、配置三层交换机

    a、配置上联口f0/48

           interface FastEthernet 0/48

            no switchport

            ip address 192.168.2.3 255.255.255.0

    b、新建vlan10,配置int vlan 10地址,将相应接口划分到vlan10里

            vlan 10

            interface VLAN 10

            ip address 192.168.1.254 255.255.255.0

            interface FastEthernet 0/7

            switchport access vlan 10

    c、配置默认路由

            ip route 0.0.0.0 0.0.0.0 192.168.2.2

            ip route 192.168.3.0 255.255.255.0 192.168.2.1   --核心交换机上需配置静态路由:目的地址为192.168.3.0/24下一跳指向NGFW的管理地址192.168.2.1

 

              

五、验证效果

       进入菜单--VPN--IPSec--监控器,可查VPN建立的两个阶段是否成功。

       

       如下图所示:两个阶段分别建立成功。

        

        

        192.168.1.0/24网段的电脑能ping通192.168.3.0/24

        

        192.168.3.0/24网段的电脑能ping通192.168.1.0/24

        


 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式