【WALL1600下一代防火墙】下一代防火墙预共享密钥方式NGFW(路由)+V1600S(桥)

发布时间: 2013-09-08 点击量:559 打印 字体:

一、组网需求

某集团公司有两个子公司,A子公司的出口设备是路由器,内网有一台VPN网关设备,B子公司的出口设备是NGFW防火墙,两个子公司之间的内网要通过IPSEC VPN隧道实现互相访问。

二、组网拓扑

三、配置要点

本案例测试的设备说使用的软件版本:V1600S: 2.60.07  ;   NGFW:  20120614   (本案例对主模式和野蛮模式都支持)

配置的主要步骤如下:

       1、配置NGFW的IPSEC

         a、新建IKE协商(通常说的第一阶段协商)

         b、新建IPSEC协商(通常说的第二阶段协商)

         c、配置安全策略

       2、配置出口路由器(上图拓扑中左边的出口路由器)

        a、配置内网接口

        b、配置外网接口

        c、配置NAT地址转换

        d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)

        e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )

     映射VPN网关设备的端口是为了管理员在外网也可以管理VPN网关设备

       3、配置V16000S

        a、添加VPN设备(等价于新建IKE协商)

        b、添加VPN隧道(等价于新建IPSEC协商)

        c、配置高级选项(IPSEC的隧道策略选择直接放行)

从V1600S这边的内网主动访问对端NGFW的内网,否则可能VPN隧道无法正常建立。

V1600S的本地标识选择IP标识,IP地址为出口路由器的外网接口IP地址,对端标识选择IP地址,地址自动即可,NGFW上的本地ID可不填写,所有模式均可以协商成功;

      4、VPN建立失败基本排查思路:

           a、第一阶段建立失败:

     检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。

                检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;

           b、若第一阶段建立成功,第二阶段建立失败:

      检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;

           c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

注意事项:NGFW做出口,VPN做桥,必须VPN主动发起

 

四、配置步骤

配置的主要步骤如下:

a、配置NGFW的IPSEC

NGFW基本的设置信息如下:

接口IP:

默认路由设置

地址转换规则

a、新建IKE协商

b、新建IPSEC协商

 

c、配置安全策略

第一条策略为IPSEC的相关安全策略 ,本地子网:NGFW的内网用户网段,对端子网:V1600S的内网用户网段

第二条策略设置的目的是允许任何数据经过防火墙(本案例是实验环境,建议用户针对实际的网络环境设置明细的IP地址段)

    

 

 

最终的策略排序如下:

 

2、配置出口路由器(上图拓扑中左边的出口路由器)

a、配置内网接口

interface FastEthernet 0/0

  ip nat inside

 ip address 1.1.10.1 255.255.255.0

b、配置外网接口

interface FastEthernet 0/1

  ip nat outside

  ip address 172.18.10.201 255.255.255.0

c、配置NAT地址转换

ip access-list extended 101

   10 permit ip any any 

ip nat inside source list 101 pool test 

ip nat pool test prefix-length 24

      address 172.18.10.201 172.18.10.201 match interface FastEthernet 0/1

d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)

ip route 0.0.0.0    0.0.0.0  172.18.10.1     //配置去往外网的默认路由

e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )

ip nat inside source static tcp 1.1.10.2 666 172.18.10.201 666        //映射V1600S的管理端口:666

ip nat inside source static udp 1.1.10.2 500 172.18.10.201 500      //映射IPSEC协商的500端口

ip nat inside source static udp 1.1.10.2 4500 172.18.10.201 4500  //映射IPSEC协商的4500端口

 

3、配置V16000S

基本的网络设置如下:

a、添加VPN设备(等价于新建IKE协商)

添加的设备信息如下:

本地接口:桥接口br0    ;     对端地址:NGFW的外网接口IP     ;  认证方式: 预共享密钥--ruijie  

本地标识:IP地址----出口路由器的外网接口IP    ;  对端标识:IP地址:NGFW的外网接口IP地址

高级选项中的设置参数如下:   第一阶段模式---主模式      ;  发起 提议的DH组 :2

b、添加VPN隧道(等价于新建IPSEC协商)

本地子网:V1600S的内网用户网段    ;  对方子网:   NGFW的内网用户网段     ;勾选 “自动启动”   ; 通信策略选择默认的“3DES+HMAC_MD5"

 

        

 

c、配置高级选项(隧道通信策略选择”直接放行“)

五、配置验证

 

配置完以后,从V1600S的内网去ping NGFW 内网的用户主机,在NGFW的IPSEC 监视器里 看到以下协商成功的状态信息,说明VPN隧道协商成功了。

 

 

00 分享 纠错
相关条目