交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
如下图所示:NGFW1作为旁路模式接在核心交换机上,NGFW1与NGFW2之间建立IPSec VPN,实现两个局域网间的安全通信。
各参数配置如下,两端需一致:
模式:主模式;
认证方式:预共享密钥,密钥为ruijie
IKE算法:3DES-MD5,DH2
IPSec协商交互方案:esp(3des-md5)
完美向前:group2
二、网络拓扑
三、配置要点
1、配置NGFW1
a、配置接口地址
b、配置地址资源
c、配置NAT、路由
d、配置IKE策略
e、配置ipsec策略(当有穿越NAT时,AH选择为NULL,且两端配置保持一致)
f、配置安全策略
2、配置NGFW2
a、配置接口地址
b、配置地址资源
c、配置NAT、路由
d、配置IKE策略
e、配置ipsec策略
f、配置安全策略
3、配置路由器
将IPSEC协商使用的UDP端口500和4500映射到外网:
ip nat inside source static udp 192.168.2.1 4500 192.168.33.51 4500 permit-inside
ip nat inside source static udp 192.168.2.1 500 192.168.33.51 500 permit-inside
4、配置交换机
5、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
四、操作步骤
1、配置NGFW1
a、配置接口地址
b、配置地址资源
c、配置路由
d、配置IKE策略
e、配置ipsec策略
f、配置安全策略
2、配置NGFW2
a、配置接口地址
b、配置地址资源
c、配置NAT、路由
d、配置IKE策略
e、配置ipsec策略
f、配置安全策略
3、配置路由器
配置内网口IP地址:
interface GigabitEthernet 0/0
ip nat inside
ip address 192.168.1.3 255.255.255.0
配置外网口IP地址:
interface GigabitEthernet 0/1
ip nat outside
ip address 192.168.33.51 255.255.255.0
配置NAT地址池ruijie及NAT转换:
access-list 1 permit any
ip nat pool ruijie prefix-length 24
address 192.168.33.51 192.168.33.51 match interface GigabitEthernet 0/1
ip nat inside source list 1 pool ruijie
配置端口映射:
将IPSEC协商使用的UDP端口500和4500映射到外网:
ip nat inside source static udp 192.168.2.1 4500 192.168.33.51 4500 permit-inside
ip nat inside source static udp 192.168.2.1 500 192.168.33.51 500 permit-inside
若想外网用户能管理NGFW,可将NGFW的443端口映射到公网上:
ip nat inside source static tcp 192.168.2.1 443 192.168.33.51 443 permit-inside
配置默认路由:
ip route 0.0.0.0 0.0.0.0 192.168.33.1
配置回指静态路由:
ip route 192.168.2.0 255.255.255.0 192.168.1.2
ip route 192.168.10.0 255.255.255.0 192.168.1.2
4、配置交换机
配置VLAN 10、配置int vlan 10的IP地址、将f0/1划入vlan 10:
vlan 10
interface VLAN 10
ip address 192.168.10.1 255.255.255.0
interface FastEthernet 0/1
switchport access vlan 10
配置f0/47的接口IP地址:
interface FastEthernet 0/47
no switchport
ip address 192.168.2.2 255.255.255.0
配置f0/48的接口IP地址:
interface FastEthernet 0/48
no switchport
ip address 192.168.1.2 255.255.255.0
配置默认路由:
ip route 0.0.0.0 0.0.0.0 192.168.1.3
配置192.168.20.0/24网段的下一跳指向NGFW的管理地址
ip route 192.168.20.0 255.255.255.0 192.168.2.1
五、验证效果
分别查看两台设备的IPSEC协商状态:
两端子网可以互相通信: