锐捷睿易锐捷官方商城

中文

登录

产品

< 返回主菜单

产品

交换机

交换机所有产品

< 返回产品

交换机

园区网交换机

园区网交换机

数据中心与云计算交换机

数据中心与云计算交换机

中小网络精简型交换机

中小网络精简型交换机

工业交换机

工业交换机

意图网络指挥官

意图网络指挥官

SDN

配件

查看交换机首页 >

所有技术解决方案

路由器

路由器所有产品

< 返回产品

路由器

核心路由器

核心路由器

汇聚路由器

汇聚路由器

接入路由器

接入路由器

移动路由器

移动路由器

路由器应用软件

路由器应用软件

中小网络路由器

中小网络路由器

查看路由器首页 >

所有技术解决方案

无线

无线所有产品

< 返回产品

无线

放装型无线接入点

放装型无线接入点

墙面型无线接入点

墙面型无线接入点

智分无线接入点

智分无线接入点

室外无线接入点

室外无线接入点

场景化无线

场景化无线

无线控制器

无线控制器

小锐A系列

无线管理与应用

无线管理与应用

查看无线首页 >

所有技术解决方案

物联网

物联网所有产品

< 返回产品

物联网

物联网管理平台

物联网管理平台

物联网基站/网关

物联网基站/网关

查看物联网首页 >

所有技术解决方案

云桌面

云桌面所有产品

< 返回产品

云桌面

云主机系列

云主机系列

云终端系列

云终端系列

云桌面软件系列

云桌面软件系列

配件系列

查看云桌面首页 >

所有技术解决方案

安全

安全所有产品

< 返回产品

安全

大数据安全平台

大数据安全平台

下一代防火墙

下一代防火墙

安全网关

检测管理安全

检测管理安全

应用防护安全

应用防护安全

安全服务

查看安全首页 >

所有技术解决方案

智慧教室

智慧教室所有产品

< 返回产品

智慧教室

交互显示系统

交互显示系统

智能控制系统

智能控制系统

教学软件

音视频产品

音视频产品

空间设计

教学培训服务

教学培训服务

查看智慧教室首页 >

所有技术解决方案

统一运维

统一运维所有产品

< 返回产品

统一运维

IT运维产品

查看统一运维首页 >

所有技术解决方案

身份管理

身份管理所有产品

< 返回产品

身份管理

安全管理系列

安全管理系列

运营管理系列

运营管理系列

身份中台

查看身份管理首页 >

服务产品

服务产品所有产品

< 返回产品

服务产品

基础实施服务

基础实施服务

基础维护服务

基础维护服务

运维管理服务

运维管理服务

整网服务

安全服务

备件与扩容服务

备件与扩容服务

培训与认证服务

培训与认证服务

查看服务产品首页 >

产品中心首页 >

官方商城

锐捷睿易

远程POC申请

行业

< 返回主菜单

行业

运营商

< 返回行业

运营商

运营商首页 >

政府

< 返回行业

政府

政府首页 >

金融

< 返回行业

金融

金融首页 >

互联网

< 返回行业

互联网

互联网首页 >

电力能源

< 返回行业

电力能源

电力能源首页 >

制造业

< 返回行业

制造业

制造业首页 >

高教/职教

< 返回行业

高教/职教

高教/职教首页 >

普教

< 返回行业

普教

普教首页 >

医疗卫生

< 返回行业

医疗卫生

医疗卫生首页 >

交通

< 返回行业

交通

交通首页 >

地产酒店文旅·连锁服务

地产酒店文旅·连锁服务

< 返回行业

地产酒店文旅·连锁服务

地产酒店文旅·连锁服务·场馆园区首页 >

公共安全

< 返回行业

公共安全

公共安全首页 >

行业中心首页 >

锐捷睿易

服务支持

< 返回主菜单

服务与支持

服务工具

服务平台

技术支持

服务产品

产品服务

教学服务

合作伙伴

< 返回主菜单

合作伙伴

成为锐捷伙伴

售前营销

销售与订单

售后及服务

用户中心

关于锐捷

< 返回主菜单

关于锐捷

公司介绍

公司动态

加入我们

联系我们

营销资料平台

投资者关系

返回主菜单

选择区域/语言

中文 English 日本語 Türkçe việt nam Indonesi ภาษาไทย Español Português Français Polski România Pусский Deutsch Italiano

首页 >服务与支持 >常见问题 >【WALL1600下一代防火墙】下一代防火墙VPN功能配置预共享密钥方式IPSec vpn预共享密钥方式PC+ NGFW（透明）

【WALL1600下一代防火墙】下一代防火墙VPN功能配置预共享密钥方式IPSec vpn预共享密钥方式PC+ NGFW（透明）

发布时间：2013-09-14

点击量：3222

一、组网需求

如下图所示：NGFW作为桥模式串在出口路由和核心交换机之间，现实现出差在外的员工PC通过IPSec客户端（可登录到锐捷论坛http://support.ruijie.com.cn下载客户端软件）与设备间建立IPSecVPN，实现出差员工安全访问内网服务器。

各参数配置如下，以下参数两端需保持一致：

模式：主模式；

认证方式：预共享密钥，密钥ruijie

IKE算法：3DES-MD5，DH2

IPSec协商交互方案：esp(3des-md5)，AH：NULL

完美向前：group2

客户端认证用户名：test,密码：123456

二、网络拓扑

三、配置要点

1、配置NGFW1

a、配置基本上网

NGFW上需添加静态路由：目的地址为192.168.1.0/24下一跳指向核心交换机的上联口192.168.2.3

b、配置扩展认证用户和用户组，用于客户端从外网拨入的认证账号

c、配置IKE协商

d、配置ipsec协商

e、配置安全策略

2、配置路由器

a、配置内网口地址

b、配置外网口地址

c、配置NAT地址池

d、配置默认路由和静态路由

e、配置端口映射

将NGFW的管理地址192.168.2.1的UDP500、4500端口映射到外网：

ip nat inside source static udp 192.168.2.1 500 172.18.10.77 500

ip nat inside source static udp 192.168.2.1 4500 172.18.10.77 4500

3、配置交换机

a、配置上联口f0/48

b、新建vlan10，配置int vlan 10地址，将相应接口划分到vlan10里

c、配置默认路由、静态路由

核心交换机上需配置静态路由：目的地址为192.168.100.0/24下一跳指向NGFW的管理地址192.168.2.1 （确保VPN的流量来回路径一致）

4、配置客户端（可登录到锐捷论坛http://support.ruijie.com.cn下载客户端软件）

a、安装客户端

b、配置IKE协商

c、配置ipsec协商

5、VPN建立失败基本排查思路：

a、第一阶段建立失败：

检查VPN的两台设备之前的连通性是否可达，两台设备互ping看是否连通，若不通，先检查网络连通性。

检查IKE协商配置：IKE策略是否一致（加密算法和认证算法）、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致；

b、若第一阶段建立成功，第二阶段建立失败：

检查IPSec协商配置：安全策略是否配置正确，是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称；

c、若还是不能解决，请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

四、操作步骤

1、配置NGFW1

a、配置基本上网

配置透明桥

配置地址资源

进入菜单--资源管理--地址资源--地址节点--新建

配置安全策略：

进入菜单---防火墙---安全策略---安全策略---新建

接口选择透明桥，即第一步所设置的透明桥名“test”。

源地址选择内网允许通过的网段地址资源“PC1”

动作选择“permit”。

配置默认路由

进入菜单--网络管理--基本配置--缺省网关--新建

配置默认路由指向路由器的内网口：192.168.2.2

配置静态路由：

配置静态路由：目的地址为192.168.1.0/24下一跳指向三层交换机的上联口地址192.168.2.3：

b、配置扩展认证用户和用户组，用于客户端从外网拨入的认证账号

配置用户组”test“，类型为“firewall”

c、配置IKE协商

由于客户端地址不固定，故对端网关为动态IP地址

本地ID：填写路由器的公网地址172.18.10.77

扩展认证启用，并选择配置好的用户组“test”

模式认证启用，并填写分配给客户端的VPN隧道IP地址及DNS

d、配置ipsec协商

e、配置安全策略

配置内网PC1上网安全策略：源接口和目的接口均选择桥接口名称“test”

配置IPSEC安全策略：PC1访问PC2走IPSEC，使用VPN通道“NGFW1”

安全策略配置后务必勾选“启用”才能生效。

f、保存配置

2、配置路由器

a、配置内网口地址

interface GigabitEthernet 0/3

ip nat inside

ip address 192.168.2.2 255.255.255.0

b、配置外网口地址

interface GigabitEthernet 0/4

ip nat outside

ip address 172.18.10.77 255.255.255.0

c、配置NAT地址池及NAT转换

ip nat pool ruijie prefix-length 24

address 172.18.10.77 172.18.10.77 match interface GigabitEthernet 0/4

ip nat inside source list 1 pool ruijie

d、配置默认路由和静态路由

ip route 0.0.0.0 0.0.0.0 172.18.10.1

ip route 192.168.1.0 255.255.255.0 192.168.2.3 --目的地址为192.168.1.0/24下一跳指向核心交换机的上联口192.168.2.3

e、配置端口映射

将NGFW的管理地址192.168.2.1的UDP500、4500端口映射到外网：

ip nat inside source static udp 192.168.2.1 500 172.18.10.77 500

ip nat inside source static udp 192.168.2.1 4500 172.18.10.77 4500

3、配置交换机

a、配置上联口f0/48

interface FastEthernet 0/48

no switchport

ip address 192.168.2.3 255.255.255.0

b、新建vlan10，配置int vlan 10地址，将相应接口划分到vlan10里

vlan 10

interface VLAN 10

ip address 192.168.1.254 255.255.255.0

interface FastEthernet 0/7

switchport access vlan 10

c、配置默认路由

ip route 0.0.0.0 0.0.0.0 192.168.2.2

ip route 192.168.100.0 255.255.255.0 192.168.2.1 --目的地址为192.168.100.0/24下一跳指向NGFW的管理地址192.168.2.1

4、配置客户端

a、安装客户端

将附件二IPSec客户端下载至电脑上，解压开双击setup.ext安装文件

选择安装路径，然后点“下一步”

b、配置IKE协商

输入用户名test,密码123456

c、配置ipsec协商

配置完成后双击名称test，即可连接。

五、验证效果

可看到VPN分别通过第一阶段协商成功和第二阶段协商成功，最终显示连接成功。

如图所示为客户端的IP地址：192.168.0.129，获取到的VPN地址为192.168.100.3，且通ping通内网的服务器。

相关产品

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S7800C系列融合核心交换机

RG-S7800C系列融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-N18006-X，6槽机箱，核心层，零背板

RG-N18006-X，6槽机箱，核心层，零背板

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列融合万兆交换机

RG-S6120系列融合万兆交换机

RG-EG3250新一代多业务安全网关

RG-EG3250新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-WS7005-A多业务无线AC

RG-WS7005-A多业务无线AC

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-WS7208-A多业务无线AC

RG-WS7208-A多业务无线AC

RG-AP880-I双射频Wi-Fi 6无线AP

RG-AP880-I双射频Wi-Fi 6无线AP

RG-WS7880高性能无线AC

RG-WS7880高性能无线AC

RG-EG2100-P V2全能PoE网关

RG-EG2100-P V2全能PoE网关

RG-N18000-X系列

RG-N18000-X系列

RG-N18010-X，10槽机箱，核心层，零背板

RG-N18010-X，10槽机箱，核心层，零背板

RG-EG3000XE新一代高性能综合网关

RG-EG3000XE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-WS6816高性能无线AC

RG-WS6816高性能无线AC

RG-WS6108高性能无线AC

RG-WS6108高性能无线AC

RG-EG3000GE新一代高性能综合网关

RG-EG3000GE新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG2000F

RG-EG2000F

RG-S2900G-E V3系列千兆交换机

RG-S2900G-E V3系列千兆交换机

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

您可能还关注的问题

售前咨询
售后服务
意见反馈

返回顶部

请选择服务项目

售前咨询

售后服务

意见反馈

更多联系方式