交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
如下图所示,NGWF(下一代防火墙)与wall160(旧防火墙)建立ipsec vpn,让NGFW的内网网段192.168.1.0/24与wall160的内网网段192.168.2.0/24能互相通信。
wall160的口为静态IP地址,IP地址是动态的,NGFW的出口为ADSL线路。
各参数配置如下,两端需一致:
模式:主模式;
认证方式:预共享密钥,密钥为ruijie
IKE算法:3DES-MD5,DH2
IPSec协商交互方案:esp(3des-md5)
完美向前:group2
二、网络拓扑
三、配置要点
1、配置NGFW
a、配置IKE协商策略
b、配置IPSEC协商策略
c、配置IPSec安全策略
d、保存配置
2、配置wall160
a、配置IKE协商策略
对端网关IP地址选择“动态地址”类型。
b、配置IPSEC协商策略
c、配置IPSec安全策略
3、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
注意事项:此场景要求固定公网IP端wall160端设备在配置IKE策略时,“远程网关”应配置为“动态IP地址”。另一端不需要另外配置,此时必须从动态或私网IP端发起协商,此外如涉及到NAT穿越,注意在配置VPN参数时,把AH封装设置为NULL;
四、操作步骤
1、配置NGFW
a、配置IKE协商策略
进入菜单---VPN---IPSec---自动模式(IKE)---新建IKE协商
标识对端网关名称:wall160t
对端网关:静态IP地址,IP地址为182.18.10.95
b、配置IPSEC协商策略
进入菜单---VPN配置---自动模式(IKE)---选择刚才建好的wall160t的网关名,点击“新建IPSEC协商”
c、配置IPSec安全策略
进入菜单--防火墙--安全策略--新建
d、保存配置
2、配置wall160
a、配置IKE协商策略
在基本上网配置已完成的情况下开启IPSec VPN功能
b、配置IPSEC协商策略
确保隧道状态为启用状态:
c、配置IPSec安全策略
进入菜单--安全策略--安全规则--添加
新建包过滤:放通IKE服务
新建包过滤:允许192.168.1.0/24网段通过160t的IPSec vpn访问192.168.2.0/24
新建包过滤:允许192.168.2.0/24网段通过160t的IPSec vpn访问192.168.1.0/24
五、验证效果
进入菜单--VPN--IPSec--监控器,可查VPN建立的两个阶段是否成功。
如下图所示:两个阶段分别建立成功
wall160t的系统监控--IPSecVPN隧道监控:
192.168.2.0/24网段ping192.168.1.14: