发布时间:2013-09-08
点击量:1639一、组网需求
某集团公司有两个子公司,A子公司的出口设备是路由器,内网有一台VPN网关设备,B子公司的出口设备是NGFW防火墙,两个子公司之间的内网要通过IPSEC VPN隧道实现互相访问。
二、组网拓扑
三、配置要点
本案例测试的设备说使用的软件版本:V1600S: 2.60.07 ; NGFW: 20120614 (本案例对主模式和野蛮模式都支持)
配置的主要步骤如下:
1、配置NGFW的IPSEC
a、新建IKE协商(通常说的第一阶段协商)
b、新建IPSEC协商(通常说的第二阶段协商)
c、配置安全策略
2、配置出口路由器(上图拓扑中左边的出口路由器)
a、配置内网接口
b、配置外网接口
c、配置NAT地址转换
d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)
e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )
映射VPN网关设备的端口是为了管理员在外网也可以管理VPN网关设备
3、配置V16000S
a、添加VPN设备(等价于新建IKE协商)
b、添加VPN隧道(等价于新建IPSEC协商)
c、配置高级选项(IPSEC的隧道策略选择直接放行)
从V1600S这边的内网主动访问对端NGFW的内网,否则可能VPN隧道无法正常建立。
V1600S的本地标识选择IP标识,IP地址为出口路由器的外网接口IP地址,对端标识选择IP地址,地址自动即可,NGFW上的本地ID可不填写,所有模式均可以协商成功;
4、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
注意事项:NGFW做出口,VPN做桥,必须VPN主动发起
四、配置步骤
配置的主要步骤如下:
a、配置NGFW的IPSEC
NGFW基本的设置信息如下:
接口IP:
默认路由设置
地址转换规则
a、新建IKE协商
b、新建IPSEC协商
c、配置安全策略
第一条策略为IPSEC的相关安全策略 ,本地子网:NGFW的内网用户网段,对端子网:V1600S的内网用户网段
第二条策略设置的目的是允许任何数据经过防火墙(本案例是实验环境,建议用户针对实际的网络环境设置明细的IP地址段)
最终的策略排序如下:
2、配置出口路由器(上图拓扑中左边的出口路由器)
a、配置内网接口
interface FastEthernet 0/0
ip nat inside
ip address 1.1.10.1 255.255.255.0
b、配置外网接口
interface FastEthernet 0/1
ip nat outside
ip address 172.18.10.201 255.255.255.0
c、配置NAT地址转换
ip access-list extended 101
10 permit ip any any
ip nat inside source list 101 pool test
ip nat pool test prefix-length 24
address 172.18.10.201 172.18.10.201 match interface FastEthernet 0/1
d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)
ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置去往外网的默认路由
e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )
ip nat inside source static tcp 1.1.10.2 666 172.18.10.201 666 //映射V1600S的管理端口:666
ip nat inside source static udp 1.1.10.2 500 172.18.10.201 500 //映射IPSEC协商的500端口
ip nat inside source static udp 1.1.10.2 4500 172.18.10.201 4500 //映射IPSEC协商的4500端口
3、配置V16000S
基本的网络设置如下:
a、添加VPN设备(等价于新建IKE协商)
添加的设备信息如下:
本地接口:桥接口br0 ; 对端地址:NGFW的外网接口IP ; 认证方式: 预共享密钥--ruijie
本地标识:IP地址----出口路由器的外网接口IP ; 对端标识:IP地址:NGFW的外网接口IP地址
高级选项中的设置参数如下: 第一阶段模式---主模式 ; 发起 提议的DH组 :2
b、添加VPN隧道(等价于新建IPSEC协商)
本地子网:V1600S的内网用户网段 ; 对方子网: NGFW的内网用户网段 ;勾选 “自动启动” ; 通信策略选择默认的“3DES+HMAC_MD5"
c、配置高级选项(隧道通信策略选择”直接放行“)
五、配置验证
配置完以后,从V1600S的内网去ping NGFW 内网的用户主机,在NGFW的IPSEC 监视器里 看到以下协商成功的状态信息,说明VPN隧道协商成功了。
