交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
某集团公司有两个子公司,A子公司的出口设备是路由器,内网有一台VPN网关设备,B子公司的出口设备是NGFW防火墙,两个子公司之间的内网要通过IPSEC VPN隧道实现互相访问。
二、网络拓扑
三、配置要点
建议先确认在没配置IPSEC之前,两端的网络都是能正常访问互联网,基本的上网配置这里不赘述
本案例测试的设备说使用的软件版本:V1600S: 2.60.07 ; NGFW: 20120614 (本案例对主模式和野蛮模式都支持)
NGFW具备一个小型的CA管理中心的功能,可以为自己或其它NGFW设备(必须是NGFW设备,其它设备不行)颁发CA根证书和用户设备证书,本案例中由于两台设备不是同种类型的设备,所以只能借助我司的RG-CMS证书管理系统来代为生成CA根证书和用户设备证书。
1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发根证书和生成用户证书
a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书
b、为NGFW生成用户证书,用户类型“网关用户”
c、为V1600S生成用户证书,用户类型“网关用户”
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
b、配置IKE协商策略(第一阶段),两端设备设置的协商参数必须一致
由于V1600S的IKE阶段协商参数是自适应的,也就是说对端设置任何一种算法,它都能与之匹配,所以本案例中NGFW的IKE协商阶段的算法可以任意设置(除了DH参数除外)
c、配置IPSEC协商策略(第二阶段),两端设备设置的协商参数必须一致
d、配置与IPSEC相关的安全策略
3、配置出口路由器(上图拓扑中左边的出口路由器)
a、配置内网接口
b、配置外网接口
c、配置NAT地址转换
d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)
e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )
映射VPN网关设备的端口是为了管理员在外网也可以管理VPN网关设备
4、配置V1600S
a、为V1600S导入CA根证书和本地设备证书
b、添加VPN设备(第一阶段),两端设备设置的协商参数必须一致(本案例中,只需注意DH组参数的设置要一致即可)
c、添加VPN隧道(第二阶段),两端设备设置的协商参数必须一致
d、设置高级选项(选择IPSEC协商策略为默认直接放行)
5、VPN建立失败基本排查思路:
a、第一阶段建立失败:
检查VPN的两台设备之前的连通性是否可达,两台设备互ping看是否连通,若不通,先检查网络连通性。
检查IKE协商配置:IKE策略是否一致(加密算法和认证算法)、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致;
b、若第一阶段建立成功,第二阶段建立失败:
检查IPSec协商配置:安全策略是否配置正确,是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称;
c、若还是不能解决,请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。
注意事项:NGFW做出口,VPN做桥,必须VPN主动发起
四、操作步骤
本案例是在两端网络都已经能正常上网的前提下配置的,所以基本的用户上网配置就不再赘述。
1、安装RG-CMS证书管理系统,为NGFW和V1600S颁发CA根证书和生成用户证书(安装的操作请参考IPSEC VPN >RG-CMS证书管理系统的安装说明)
a、首先导出CMS的默认CA根证书做为V1600S和NGFW的CA根证书
生成的CA根证书名称为“mycert.pem"
b、为NGFW生成用户证书,用户类型“网关用户”
选中此新增用户,右击鼠标,点击“生成证书”
再次右击,选择“导出证书和私钥”
导出证书类型有两种,两种都导出来
c、为V1600S生成用户证书
选中此新增用户,右击鼠标,点击“生成证书”
再次右击,选择“导出证书和私钥”
导出证书类型有两种,两种都导出来
2、配置NGFW
a、为NGFW导入CA根证书和本地设备证书。
VPN> 本地证书 >CA ,如果已存在有旧的CA根证书,那么请先把旧的删掉
本地证书导入的是NGFW的 *.pem和*.key两个文件
VPN> 本地证书 >本地证书 (下图中的密码可以不填写)
b、配置IKE协商策略(第一阶段)
网关名称:to_v1600s (自定义名称 ) ;对端网关:动态IP地址
认证方式:“RSA签名 ”
证书:选择之前导入的本地证书(此处证书的名称前缀是“2”)
IKE协商: 加密算法-3DES ; 认证:MD5 ; DH组:2
c、配置IPSEC协商策略(第二阶段)
对端网关:上一步设置的“to-v1600s"
d、配置与IPSEC相关的安全策略
第一条策略为IPSEC的相关安全策略 ,本地子网:NGFW的内网用户网段,对端子网:V1600S的内网用户网段
第二条策略设置的目的是允许任何数据经过防火墙(本案例是实验环境,建议用户针对实际的网络环境设置明细的IP地址段)
最终的策略排序如下:
3、配置出口路由器(上图拓扑中左边的出口路由器)
a、配置内网接口
interface FastEthernet 0/0
ip nat inside
ip address 1.1.10.1 255.255.255.0
b、配置外网接口
interface FastEthernet 0/1
ip nat outside
ip address 172.18.10.201 255.255.255.0
c、配置NAT地址转换
ip access-list extended 101
10 permit ip any any
ip nat inside source list 101 pool test
ip nat pool test prefix-length 24
address 172.18.10.201 172.18.10.201 match interface FastEthernet 0/1
d、配置默认路由(如果实际环境中是三层环境,也即是说内网主机的网关地址设置在核心3层交换机上,那么还需要配置去往内网网段的回指路由)
ip route 0.0.0.0 0.0.0.0 172.18.10.1 //配置去往外网的默认路由
e、配置与IPSEC协议相关的端口映射及VPN网关设备管理端口的(IPSEC相关的端口:udp 500和4500 ; VPN网关设备的管理端口TCP 666 )
ip nat inside source static tcp 1.1.10.2 666 172.18.10.201 666 //映射V1600S的管理端口:666
ip nat inside source static udp 1.1.10.2 500 172.18.10.201 500 //映射IPSEC协商的500端口
ip nat inside source static udp 1.1.10.2 4500 172.18.10.201 4500 //映射IPSEC协商的4500端口
4、配置V1600S
a、为V1600S导入CA根证书和本地设备证书
点击以上的证书管理,进入如下界面,再点击”导入“
导入RG-CMS系统为V1600S生成的用户证书
导入下图中“2.pem”文件就行
b、添加VPN设备(第一阶段)
IPSEC VPN > 添加设备 > 设备信息 :
本地接口:V1600S的外网接口 ;对端地址:NGFW的外网接口IP地址 ; 认证方式:数字证书
本地标识---数字证书主题:选择之前导入的本地用户证书
对端标识---数字证书主题:选择NGFW的用户证书“1.pem”
点击上图中的高级选项:IPSEC VPN > 添加设备 > 高级选项
配置完之后要在设备管理读取下配置,将证书写入flash:然后重载下证书
c、添加VPN隧道(第二阶段)
先选中之前新添加的“设备”,然后点击“添加隧道”配置隧道信息
本地子网:V1600S的内网用户网段 ; 对方子网: NGFW的内网用户网段 ; 勾选“自动启动"
通信策略:选择3DES+HMAC_MD5(与NGFW的参数选择一致)
d、设置高级选项(选择IPSEC协商策略为默认直接放行)
五、配置验证
从V1600S的内网去 ping 对端 NGFW的内网用户主机,然后查看NGFW的IPSEC 监视器,协商成功的状态显示如下
V1600S的隧道通信状态如下: