交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
无线管理与应用
服务产品
一、组网需求
某集团公司有两个子公司,两个子公司使用的都是wall 1600下一代防火墙(即简称NGFW),它们之间使用RSA签名的证书方式来建立SSL VPN隧道,实现两地局域网之间的互相访问。其中A子公司的1600SC1设备是以旁路模式串接在当前的网络中,B子公司的1600SC2设备是作为整个网络的出口来使用。详细的拓扑和IP地址规划如下图所示。
二、网络拓扑
1600SC1--使用GE4口:192.168.3.2
1600SC2--内网口GE3:192.168.6.1 ; 外网接口GE1:172.18.10.108
三、配置要点
在配置SSL网关功能之前,先确保两端网络都是可正常上网的,本案例是在两端都以设置好了基本的上网功能后做的配置。
简要说明CA根证书和两端设备的本地设备证书的生成:NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备颁发CA根证书和用户设备证书,本案例中我们选择其中一台1600SC(标号为1600SC1)为它自己和另外一台1600SC(标号为1600SC2)颁发证书。
配置的基本步骤如下:
1、配置EG1000C的基本上网功能
a、配置内网接口
b、配置外网接口
c、配置NAT地址转换
d、配置默认路由和静态路由
e、配置与SSL VPN相关的端口映射(点对点类型的SSL VPN相关的端口是TCP 40443)
2、配置S3750交换机
a、新增vlan
b、把接口划分到相关vlan
c、给vlan配置网关IP地址
d、配置默认路由和静态路由
配置访问B子公司内网的路由,下一跳IP为 1600SC1的GE4口的IP
3、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书
a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1里导出CA根证书(选择导出PEM格式类型的证书)
b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成用户证书
生成证书请求 ,然后签发证书并下载证书到本地
c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可 以用于IPSEC VPN中)
给1600SC1导入CA根证书和用户证书
给1600SC2导入CA根证书和用户证书
4、配置1600SC1的SSL(旁路模式)
a、编辑SSL网关
认证方式:RSA签名 算法:all
b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)
类型选择“SITE TO SITE" ,勾选“正向访问”和“反向访问”
由于旁路模式下,所有进出1600SC1的数据流都是从同一个接口出入,所以配置的安全策略相关的源接口和目的接口都是同一个接口。
5、配置1600SC2的SSL(出口路由模式)
a、编辑SSL网关
认证方式:RSA签名 算法:all
b、配置安全策略(与SSL 相关的安全策略建议调整到其它策略的前面,以免隧道流量匹配错误)
类型选择“SITE TO SITE" ,勾选“正向访问”和“反向访问
四、操作步骤
1、配置EG1000C的基本上网功能
a、配置内网接口
interface GigabitEthernet 0/3
ip nat inside
ip address 192.168.2.2 255.255.255.0
b、配置外网接口
interface GigabitEthernet 0/4
ip nat outside
ip address 192.168.33.228 255.255.255.0
c、配置NAT地址转换
ip access-list standard 1
10 permit any
ip nat pool nat_pool prefix-length 24
address 192.168.33.228 192.168.33.228 match interface GigabitEthernet 0/4
d、配置默认路由和静态路由
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/4 192.168.33.1 //配置默认路由
ip route 192.168.1.0 255.255.255.0 192.168.2.3 //配置去往内网的回指路由
e、配置与SSL VPN相关的端口映射(点对点类型的SSL VPN相关的端口是TCP 40443)
ip nat inside source static tcp 192.168.3.2 40443 192.168.33.228 40443 //TCP 40443端口是点对点SSL VPN的隧道协商端口
2、配置S3750交换机
a、新增vlan
vlan 3
vlan 10
b、把接口划分到相关vlan
int gi0/7
switchport access vlan 10
int gi0/14
switchport access vlan 3
c、给vlan配置网关IP地址
int vlan 3
ip address 192.168.3.1 255.255.255.0
int vlan 10
ip address 192.168.1.1 255.255.255.0
d、配置默认路由和静态路由
ip route 0.0.0.0 0.0.0.0 192.168.2.2 //配置访问互联网的默认路由
ip route 192.168.6.0 255.255.255.0 192.168.3.2 //配置访问B子公司内网的路由,下一跳IP为 1600SC1的GE4接口的IP
3、登录到1600SC1的CA中心,为1600SC1和1600SC2生成CA根证书和用户证书
a、在“资源管理>CA中心>根CA配置管理”中,从1600SC1里导出CA根证书,保存在本地电脑的某个文件夹里
b、在“资源管理>CA中心>用户证书管理“中,为1600SC1和1600SC2生成CA根证书和用户证书
分别为1600SC1和1600SC2生成证书请求
签发证书
同理,为1600SC2做相同的操作
最后,把1600SC1和1600SC2的证书下载到本地,建议放置在与CA根证书同一个文件夹里
最终总共文件夹里有以下三个文件
c、分别进入两台设备的”VPN>本地证书“配置项中,把之前生成的CA根证书和用户证书分别导入给两台防火墙,提供给SSL VPN使用(以上生成的CA根证书和用户证书也可以用于IPSEC VPN中)
以下操作是给1600SC1导入CA根证书(如果原本已经存在有CA根证书,需要把旧的删除,才能导入新的)
以下是为1600SC1导入本地证书
类似的,为1600SC2导入CA根证书和本地用户证书,这里不再重复赘述
----------------------------------------------------------------------------------------------------------------------
4、配置1600SC1(旁路模式)
a、配置接口IP及默认网关
b、编辑SSL网关
对端网关地址:1600SC2的外网接口IP地址
认证方式选择RSA签名,算法选择all(也可以指定其它任意一种,只要两边一致即可)
c、配置安全策略
本地网段:1600SC1的内网网段
对端6网段:1600SC2的内网网段
选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“
查看设置好的策略,因为默认策略是不启用的,所以要使配置生效,必须勾选“启用”,同时要记得把它调整到其它规则的前面,同时要把勾选“启用”的按钮,否则策略不生效
5、配置1600SC2(出口路由模式)
a、配置基本的上网功能,先保证内网用户能正常上网
此处只显示接口IP的设置,其余的设置请参考 “路由模式上网配置>单线路上网配置>静态地址环境”
b、编辑SSL网关
对端网关地址:1600SC1的外网接口IP地址
认证方式选择RSA签名,算法选择all(也可以指定其它任意一种,只要两边一致即可)
c、配置安全策略
本地网段:1600SC2的内网网段
对端6网段:1600SC1的内网网段
选择“SITE TO SITE“,并勾选”正向访问“和”反向访问“
配置完以上的安全策略后,要记得把它调整到其它规则的前面,同时要把勾选“启用”的按钮,否则策略不生效
五、验证效果
1、从1600SC1的内网主动去测试ping 1600SC2的内网用户主机,以此来触发SSL VPN隧道的协商
在NGFW_A上确定SSL VPN是否协商成功
2、进一步测试,从1600SC2的内网主动去测试ping 1600SC1的内网用户主机
在NGFW_B上确定SSL VPN是否协商成功