交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
某集团公司有两个子公司,A子公司的出口设备是路由器,内网有一台NGFW防火墙以桥模式串接在网络中,B子公司的出口设备是V1600S(VPN网关设备),两个子公司之间的内网要通过IPSEC VPN隧道实现互相访问。
二、网络拓扑
三、配置要点
建议先确认在没配置IPSEC之前,两端的网络都是能正常访问互联网,基本的上网配置这里不赘述
本案例测试的设备说使用的软件版本:V1600S: 2.60.07 ; NGFW: 20120614
NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备(必须是NGFW设备,其它设备不行)颁发CA根证书和用户设备证书,本案例中由于两台设备不是同 种类型的设备,所以只能借助我司的RG-CMS证书管理系统来代为生成CA根证书和用户设备证书。
1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发根证书和生成用户证书
a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书
b、为NGFW生成用户证书,用户类型“网关用户”
c、为V1600S生成用户证书,用户类型“网关用户”
2、配置出口路由器(上图拓扑中左边的RSR出口路由器)
a、配置内网接口
b、配置外网接口
c、配置NAT地址转换
d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)
e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )
映射VPN网关设备的端口是为了管理员在外网也可以管理VPN网关设备
3、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
b、配置IKE协商策略(第一阶段),两端设备设置的协商参数必须一致
由于V1600S的IKE阶段协商参数是自适应的,也就是说对端设置任何一种算法,它都能与之匹配,所以本案例中NGFW的IKE协商阶段的算法可以任意设置(除了DH参数除外)
c、配置IPSEC协商策略(第二阶段),两端设备设置的协商参数必须一致
d、配置与IPSEC相关的安全策略
4、配置V1600S
a、为V1600S导入CA根证书和本地设备证书
b、添加VPN设备(第一阶段),两端设备设置的协商参数必须一致(本案例中,只需注意DH组参数的设置要一致即可)
c、添加VPN隧道(第二阶段),两端设备设置的协商参数必须一致
d、设置高级选项(选择IPSEC协商策略为默认直接放行)
注意事项:野蛮模式采用证书方式认证,必须由VPN主动发起才能协商成功;其他情况(主模式下用证书或预共享密钥方式认证、野蛮模式下用预共享密钥方式认证),哪边主动发起都可以协商成功。
四、操作步骤
本案例是在两端网络都已经能正常上网的前提下配置的,所以基本的用户上网配置就不再赘述。
1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发CA根证书和生成用户证书
a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书
生成的CA根证书名称为“mycert.pem"
b、为NGFW生成用户证书,用户类型“网关用户”
选中此新增用户,右击鼠标,点击“生成证书”
再次右击,选择“导出证书和私钥”
导出证书类型有两种,两种都导出来
c、为V1600S生成用户证书
选中此新增用户,右击鼠标,点击“生成证书”
再次右击,选择“导出证书和私钥”
导出证书类型有两种,两种都导出来
2、配置出口路由器(上图拓扑中左边的出口路由器)
a、配置内网接口
interface FastEthernet 0/0
ip nat inside
ip address 1.1.10.1 255.255.255.0
b、配置外网接口
interface FastEthernet 0/1
ip nat outside
ip address 172.18.10.201 255.255.255.0
c、配置NAT地址转换
ip access-list extended 101
10 permit ip any any
ip nat inside source list 101 pool test
ip nat pool test prefix-length 24
address 172.18.10.201 172.18.10.201 match interface FastEthernet 0/1
d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)
ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置去往外网的默认路由
e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )
ip nat inside source static tcp 1.1.10.2 666 172.18.10.201 666 //映射V1600S的管理端口:666
ip nat inside source static udp 1.1.10.2 500 172.18.10.201 500 //映射IPSEC协商的500端口
ip nat inside source static udp 1.1.10.2 4500 172.18.10.201 4500 //映射IPSEC协商的4500端口
3、配置NGFW
NGFW的基本设置信息如下: 桥
默认的网关信息如下: 网关地址---路由器的内网地址
配置安全策略,允许任何数据通过防火墙(这样做其实是不安全的,请根据实际的网络环境和需求配置安全策略)
a、为NGFW导入CA根证书和本地设备证书。
VPN> 本地证书 >CA
本地证书导入的是NGFW的 *.pem和*.key两个文件
VPN> 本地证书 >本地证书 (下图中的密码可以不填写)
b、配置IKE协商策略(第一阶段)
网关名称:to_v1600s (自定义名称 ) ;对端网关:V1600S的外网接口IP;
认证方式:“RSA签名 ”
证书:选择之前导入的本地证书(此处证书的名称前缀是“2”)
IKE协商: 加密算法-3DES ; 认证:MD5 ; DH组:2
c、配置IPSEC协商策略(第二阶段)
对端网关:上一步设置的“to-v1600s"
d、配置与IPSEC相关的安全策略
第一条策略为IPSEC的相关安全策略 ,neiwang:NGFW的内网用户网段,waiwang:V1600S的内网用户网段
第二条策略设置的目的是允许任何数据经过防火墙(本案例是实验环境,建议用户针对实际的网络环境设置明细的IP地址段)
先定义地址段对象,供后面的安全策略调用
配置安全策略,使NGFW的内网用户网段和V1600S的内网用户网段之间的流量走IPSEC VPN隧道
配置安全策略,允许NGFW的内网用户访问互联网
最终的安全策略排序如下:
4、配置V1600S
a、为V1600S导入CA根证书和本地设备证书
点击以上的证书管理,进入如下界面,再点击”导入“
导入RG-CMS系统为V1600S生成的用户证书
导入下图中“2.pem”文件就行
b、添加VPN设备(第一阶段)
本地接口:V1600S的外网接口 ;对端地址:NGFW的外网接口IP地址 ; 认证方式:数字证书
本地标识---数字证书主题:选择之前导入的本地用户证书
对端标识---数字证书主题:选择NGFW的用户证书“1.pem”
点击上图中的高级选项
配置完之后要在设备管理读取下配置,将证书写入flash:然后重载下证书
c、添加VPN隧道(第二阶段)
先选中之前新添加的“设备”,然后点击“添加隧道”配置隧道信息
本地子网:V1600S的内网用户网段 ; 对方子网: NGFW的内网用户网段 ; 勾选“自动启动"
通信策略:选择3DES+HMAC_MD5(与NGFW的参数选择一致)
d、设置高级选项(选择IPSEC协商策略为默认直接放行)
五、配置验证
从V1600S的内网去 ping 对端 NGFW的内网用户主机,然后查看NGFW的IPSEC 监视器,协商成功的状态显示如下
在NGFW的 IPSEC VPN监视器里,查看到VPN隧道协商状态如下
V1600S的隧道通协商状态如下: 隧道状态显示第二阶段协商成功