发布时间:2013-09-11
点击量:1892一、组网需求
如下图所示,NGWF-A与NGFW-B建立ipsec vpn,让NGFW-A的内网网段192.168.3.0/24与NGFW-B的内网网段192.168.1.0/24能互相通信。
各参数配置如下,两端需一致:
模式:主模式;
认证方式:RSA签名
IKE算法:3DES-MD5,DH2
IPSec协商交互方案:esp(3des-md5)
二、网络拓扑
三、配置要点
1、配置NGFW-A
a、生成CA证书、本地证书、签发证书
本地证书需生成两份,证书签发后才有效。
b、导入CA证书、本址证书
c、配置IKE协商策略
认证方式:RSA签名
d、配置IPSEC协商策略
e、配置IPSec安全策略
f、保存配置
2、配置NGFW-B
a、导入CA证书、本址证书
b、配置IKE协商策略
认证方式:RSA签名
c、配置IPSEC协商策略
d、配置IPSec安全策略
e、保存配置
3、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
四、操作步骤
1、配置NGFW1
a、生成CA证书、本地证书
点击确定:
填写证书名称等信息
提交后证书即生成,接着将此CA证书导出:
导出PEM类型的证书
生成用户证书:
分别生成160cc1和160cc2两份证书:
将生成的证书签发:
将证书签发后导出到本地保存:
导出的证书包括:根证书、用户证书
b、导入CA证书、本址证书
c、配置IKE协商策略
d、配置IPSEC协商策略
e、配置安全策略
f、保存配置
2、配置NGFW2
a、导入CA证书、本址证书
b、配置IKE协商策略,主要配置对端地址,认证方式,协商参数
c、配置IPSEC协商策略
d、配置安全策略
e、保存配置
五、验证效果
