锐捷睿易 锐捷官方商城

中文

产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机

园区网交换机

园区网交换机

数据中心与云计算交换机

数据中心与云计算交换机

中小网络精简型交换机

中小网络精简型交换机

工业交换机

工业交换机

意图网络指挥官

意图网络指挥官

SDN

SDN

配件

配件
查看交换机首页 >

所有技术解决方案

路由器

路由器所有产品
< 返回产品
路由器

核心路由器

核心路由器

汇聚路由器

汇聚路由器

接入路由器

接入路由器

移动路由器

移动路由器

路由器应用软件

路由器应用软件

中小网络路由器

中小网络路由器
查看路由器首页 >

所有技术解决方案

无线

无线所有产品
< 返回产品
无线

放装型无线接入点

放装型无线接入点

墙面型无线接入点

墙面型无线接入点

智分无线接入点

智分无线接入点

室外无线接入点

室外无线接入点

场景化无线

场景化无线

无线控制器

无线控制器

小锐A系列

小锐A系列

无线管理与应用

无线管理与应用
查看无线首页 >

所有技术解决方案

物联网

物联网所有产品
< 返回产品
物联网

物联网基站/网关

物联网基站/网关
查看物联网首页 >

所有技术解决方案

云桌面

云桌面产品方案中心
< 返回产品
云桌面

云终端系列

云终端系列

云主机系列

云主机系列

云桌面软件系列

云桌面软件系列

配件系列

配件系列
查看云桌面首页 >

所有技术解决方案

安全

安全所有产品
< 返回产品
安全

大数据安全平台

大数据安全平台

下一代防火墙

下一代防火墙

安全网关

安全网关

检测管理安全

检测管理安全

应用防护安全

应用防护安全

安全服务

安全服务
查看安全首页 >

所有技术解决方案

统一运维

统一运维所有产品
< 返回产品
统一运维

IT运维产品

IT运维产品
查看统一运维首页 >

所有技术解决方案

身份管理

身份管理所有产品
< 返回产品
身份管理

安全管理系列

安全管理系列

运营管理系列

运营管理系列

身份中台

身份中台
查看身份管理首页 >

服务产品

服务产品所有产品
< 返回产品
服务产品

基础实施服务

基础实施服务

基础维护服务

基础维护服务

运维管理服务

运维管理服务

整网服务

整网服务

安全服务

安全服务

备件与扩容服务

备件与扩容服务

培训与认证服务

培训与认证服务
查看服务产品首页 >
产品中心首页 >

官方商城

锐捷睿易

体验中心
行业
行业中心
< 返回主菜单
行业

运营商

运营商
< 返回行业
运营商
运营商首页 >

政府

政府
< 返回行业
政府
政府首页 >

金融

金融
< 返回行业
金融
金融首页 >

互联网

互联网
< 返回行业
互联网
互联网首页 >

电力能源

电力能源
< 返回行业
电力能源
电力能源首页 >

制造业

制造业
< 返回行业
制造业
制造业首页 >

高教/职教

高教/职教
< 返回行业
高教/职教
高教/职教首页 >

普教

普教
< 返回行业
普教
普教首页 >

医疗卫生

医疗卫生
< 返回行业
医疗卫生
医疗卫生首页 >

交通

交通
< 返回行业
交通
交通首页 >

地产酒店文旅·连锁服务

地产酒店文旅·连锁服务
< 返回行业
地产酒店文旅·连锁服务
地产酒店文旅·连锁服务·场馆园区首页 >

公共安全

公共安全
< 返回行业
公共安全
公共安全首页 >
行业中心首页 >

锐捷睿易

体验中心
服务支持
< 返回主菜单
服务与支持
服务工具
服务平台
技术支持
服务产品
产品服务
教学服务
合作伙伴
< 返回主菜单
合作伙伴
成为锐捷伙伴
售前营销
销售与订单
售后及服务
用户中心
关于锐捷
< 返回主菜单
关于锐捷
公司介绍
公司动态
加入我们
联系我们
营销资料平台
投资者关系
登录 登录 锐捷商城 锐捷商城 区域/语言 区域/语言
返回主菜单
选择区域/语言
中文 English 日本語 Türkçe việt nam Indonesi ภาษาไทย Español Português Français Polski România Pусский Deutsch Italiano

首页 >服务与支持 >常见问题 >【WALL1600下一代防火墙】下一代防火墙VPN功能配置预共享密钥方式IPSec vpn数字证书方式NGFW(透明)+V1600S(路由)

【WALL1600下一代防火墙】下一代防火墙VPN功能配置预共享密钥方式IPSec vpn数字证书方式NGFW(透明)+V1600S(路由)

发布时间:2013-09-14
点击量:2679

一、组网需求

    某集团公司有两个子公司,A子公司的出口设备是路由器,内网有一台NGFW防火墙以桥模式串接在网络中,B子公司的出口设备是V1600S(VPN网关设备),两个子公司之间的内网要通过IPSEC VPN隧道实现互相访问。

二、网络拓扑

 

三、配置要点

    建议先确认在没配置IPSEC之前,两端的网络都是能正常访问互联网,基本的上网配置这里不赘述

    本案例测试的设备说使用的软件版本:V1600S: 2.60.07  ;   NGFW:  20120614   

    NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备(必须是NGFW设备,其它设备不行)颁发CA根证书和用户设备证书,本案例中由于两台设备不是同 种类型的设备,所以只能借助我司的RG-CMS证书管理系统来代为生成CA根证书和用户设备证书。

      1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发根证书和生成用户证书

      a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书

      b、为NGFW生成用户证书,用户类型“网关用户”

      c、为V1600S生成用户证书,用户类型“网关用户”

      2、配置出口路由器(上图拓扑中左边的RSR出口路由器)

     a、配置内网接口

     b、配置外网接口

     c、配置NAT地址转换

     d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)

     e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )

     映射VPN网关设备的端口是为了管理员在外网也可以管理VPN网关设备

      3、配置NGFW

     a、为NGFW导入CA根证书和本地设备证书。

     b、配置IKE协商策略(第一阶段),两端设备设置的协商参数必须一致

     由于V1600S的IKE阶段协商参数是自适应的,也就是说对端设置任何一种算法,它都能与之匹配,所以本案例中NGFW的IKE协商阶段的算法可以任意设置(除了DH参数除外)

     c、配置IPSEC协商策略(第二阶段),两端设备设置的协商参数必须一致

     d、配置与IPSEC相关的安全策略

       4、配置V1600S

     a、为V1600S导入CA根证书和本地设备证书

     b、添加VPN设备(第一阶段),两端设备设置的协商参数必须一致(本案例中,只需注意DH组参数的设置要一致即可)

     c、添加VPN隧道(第二阶段),两端设备设置的协商参数必须一致

     d、设置高级选项(选择IPSEC协商策略为默认直接放行)

注意事项:野蛮模式采用证书方式认证,必须由VPN主动发起才能协商成功;其他情况(主模式下用证书或预共享密钥方式认证、野蛮模式下用预共享密钥方式认证),哪边主动发起都可以协商成功

四、操作步骤

      本案例是在两端网络都已经能正常上网的前提下配置的,所以基本的用户上网配置就不再赘述。

1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发CA根证书和生成用户证书

      a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书

 

生成的CA根证书名称为“mycert.pem"

 

b、为NGFW生成用户证书,用户类型“网关用户”

 

选中此新增用户,右击鼠标,点击“生成证书”

 

再次右击,选择“导出证书和私钥”

 

导出证书类型有两种,两种都导出来

 

 

 

 

c、为V1600S生成用户证书

 

选中此新增用户,右击鼠标,点击“生成证书”

 

再次右击,选择“导出证书和私钥”

 

 

导出证书类型有两种,两种都导出来

 

2、配置出口路由器(上图拓扑中左边的出口路由器)

a、配置内网接口

interface FastEthernet 0/0

  ip nat inside

 ip address 1.1.10.1 255.255.255.0

b、配置外网接口

interface FastEthernet 0/1

  ip nat outside

  ip address 172.18.10.201 255.255.255.0

c、配置NAT地址转换

ip access-list extended 101

   10 permit ip any any 

ip nat inside source list 101 pool test 

ip nat pool test prefix-length 24

      address 172.18.10.201 172.18.10.201 match interface FastEthernet 0/1

d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)

ip route 0.0.0.0    0.0.0.0  172.18.10.1     //配置去往外网的默认路由

e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )

ip nat inside source static tcp 1.1.10.2 666 172.18.10.201 666        //映射V1600S的管理端口:666

ip nat inside source static udp 1.1.10.2 500 172.18.10.201 500      //映射IPSEC协商的500端口

ip nat inside source static udp 1.1.10.2 4500 172.18.10.201 4500  //映射IPSEC协商的4500端口

 

 

 

3、配置NGFW

NGFW的基本设置信息如下:  桥

 

默认的网关信息如下: 网关地址---路由器的内网地址

 

配置安全策略,允许任何数据通过防火墙(这样做其实是不安全的,请根据实际的网络环境和需求配置安全策略)

 

  

 

a、为NGFW导入CA根证书和本地设备证书。

VPN> 本地证书 >CA

 

本地证书导入的是NGFW的 *.pem和*.key两个文件

VPN> 本地证书 >本地证书  (下图中的密码可以不填写)

 

b、配置IKE协商策略(第一阶段)

网关名称:to_v1600s (自定义名称 )  ;对端网关:V1600S的外网接口IP;

认证方式:“RSA签名 ”

证书:选择之前导入的本地证书(此处证书的名称前缀是“2”)

IKE协商:  加密算法-3DES  ;  认证:MD5  ;  DH组:2

 

c、配置IPSEC协商策略(第二阶段)

对端网关:上一步设置的“to-v1600s"

 

 

d、配置与IPSEC相关的安全策略

第一条策略为IPSEC的相关安全策略 ,neiwang:NGFW的内网用户网段,waiwang:V1600S的内网用户网段

第二条策略设置的目的是允许任何数据经过防火墙(本案例是实验环境,建议用户针对实际的网络环境设置明细的IP地址段)

先定义地址段对象,供后面的安全策略调用

 

 

 

 

配置安全策略,使NGFW的内网用户网段和V1600S的内网用户网段之间的流量走IPSEC VPN隧道

 

 

 

配置安全策略,允许NGFW的内网用户访问互联网

 

 

最终的安全策略排序如下:

    

4、配置V1600S

a、为V1600S导入CA根证书和本地设备证书

 

点击以上的证书管理,进入如下界面,再点击”导入“

 

导入RG-CMS系统为V1600S生成的用户证书

 

 

导入下图中“2.pem”文件就行

 

 

b、添加VPN设备(第一阶段)

本地接口:V1600S的外网接口   ;对端地址:NGFW的外网接口IP地址       ;     认证方式:数字证书

本地标识---数字证书主题:选择之前导入的本地用户证书

对端标识---数字证书主题:选择NGFW的用户证书“1.pem”

点击上图中的高级选项

 

配置完之后要在设备管理读取下配置,将证书写入flash:然后重载下证书

 

 

c、添加VPN隧道(第二阶段)

先选中之前新添加的“设备”,然后点击“添加隧道”配置隧道信息

本地子网:V1600S的内网用户网段    ;   对方子网: NGFW的内网用户网段   ; 勾选“自动启动"

通信策略:选择3DES+HMAC_MD5(与NGFW的参数选择一致)

 

          

 

d、设置高级选项(选择IPSEC协商策略为默认直接放行)

 

 

五、配置验证

从V1600S的内网去 ping 对端 NGFW的内网用户主机,然后查看NGFW的IPSEC 监视器,协商成功的状态显示如下

 

在NGFW的 IPSEC VPN监视器里,查看到VPN隧道协商状态如下

 

 

 

 

V1600S的隧道通协商状态如下: 隧道状态显示第二阶段协商成功 


 

相关产品
RG-MF2920系列,2口千兆电,千兆上行,一机双网

RG-MF2920系列,2口千兆电,千兆上行,一机双网
RG-S5310-E系列,24口千兆电,万兆上行,接入层

RG-S5310-E系列,24口千兆电,万兆上行,接入层
RG-S5310-E系列,24口千兆光,万兆上行,接入层

RG-S5310-E系列,24口千兆光,万兆上行,接入层
RG-S5310-E系列,48口千兆电,万兆上行,接入层

RG-S5310-E系列,48口千兆电,万兆上行,接入层
RG-S5310-E系列,48口千兆光,万兆上行,接入层

RG-S5310-E系列,48口千兆光,万兆上行,接入层
RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列新一代千兆交换机
RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层

RG-S5310-E系列,PoE+,48口千兆电,万兆上行,接入层
RG-S7800C系列融合核心交换机

RG-S7800C系列融合核心交换机
RG-S7800C-X系列新一代融合核心交换机

RG-S7800C-X系列新一代融合核心交换机
RG-N18006-X,6槽机箱,核心层,零背板

RG-N18006-X,6槽机箱,核心层,零背板
RG-S6120系列,24口万兆光,25G上行,汇聚层

RG-S6120系列,24口万兆光,25G上行,汇聚层
RG-S6120系列,48口万兆光,100G上行,汇聚层

RG-S6120系列,48口万兆光,100G上行,汇聚层
RG-S6120系列融合万兆交换机

RG-S6120系列融合万兆交换机
RG-EG3250新一代多业务安全网关

RG-EG3250新一代多业务安全网关
RG-EG3230新一代多业务安全网关

RG-EG3230新一代多业务安全网关
RG-EG3220新一代多业务安全网关

RG-EG3220新一代多业务安全网关
RG-EG3210 V2新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关
RG-EG3210新一代多业务安全网关

RG-EG3210新一代多业务安全网关
RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-AP820-L(V3)双射频Wi-Fi 6无线AP
RG-WS7005-A多业务无线AC

RG-WS7005-A多业务无线AC
RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP
RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP
RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP
RG-WS7208-A多业务无线AC

RG-WS7208-A多业务无线AC
RG-AP880-I双射频Wi-Fi 6无线AP

RG-AP880-I双射频Wi-Fi 6无线AP
RG-WS7880高性能无线AC

RG-WS7880高性能无线AC
RG-EG2100-P V2全能PoE网关

RG-EG2100-P V2全能PoE网关
RG-N18000-X系列

RG-N18000-X系列
RG-N18010-X,10槽机箱,核心层,零背板

RG-N18010-X,10槽机箱,核心层,零背板
RG-EG3000XE新一代高性能综合网关

RG-EG3000XE新一代高性能综合网关
RG-EG3000UE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关
RG-WS6816高性能无线AC

RG-WS6816高性能无线AC
RG-WS6108高性能无线AC

RG-WS6108高性能无线AC
RG-EG3000GE新一代高性能综合网关

RG-EG3000GE新一代高性能综合网关
RG-EG3000ME新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关
RG-EG3000SE新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关
RG-EG3000CE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关
RG-EG2000F

RG-EG2000F
RG-S2900G-E V3系列千兆交换机

RG-S2900G-E V3系列千兆交换机
RG-S2952G-E V3,48口千兆电,千兆上行,接入层

RG-S2952G-E V3,48口千兆电,千兆上行,接入层
您可能还关注的问题

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式