锐捷睿易锐捷官方商城

中文

登录

产品

< 返回主菜单

产品

交换机

交换机所有产品

< 返回产品

交换机主页

交换机

园区网交换机

园区网交换机所有产品

数据中心与云计算交换机

数据中心与云计算交换机所有产品

行业精选交换系列

行业精选交换系列所有产品

工业交换机

工业交换机所有产品

意图网络指挥官

意图网络指挥官所有产品

SDN

SDN所有产品

配件

配件所有产品

所有技术解决方案

路由器

路由器所有产品

< 返回产品

路由器主页

路由器

核心路由器

核心路由器所有产品

汇聚路由器

汇聚路由器所有产品

接入路由器

接入路由器所有产品

移动路由器

移动路由器所有产品

行业精选路由器系列

行业精选路由器系列所有产品

所有技术解决方案

无线

无线所有产品

< 返回产品

无线主页

无线

放装型无线接入点

放装型无线接入点所有产品

墙面型无线接入点

墙面型无线接入点所有产品

智分无线接入点

智分无线接入点所有产品

室外无线接入点

室外无线接入点所有产品

场景化无线

场景化无线所有产品

无线控制器

无线控制器所有产品

行业精选无线系列

行业精选无线系列所有产品

无线管理与应用

无线管理与应用所有产品

所有技术解决方案

云桌面

云桌面产品方案中心

< 返回产品

云桌面主页

云桌面

云终端系列

云终端系列所有产品

查看云终端选型指导

云主机系列

云主机系列所有产品

云桌面软件系列

云桌面软件系列所有产品

配件系列

配件系列所有产品

所有技术解决方案

安全

安全所有产品

< 返回产品

安全主页

安全

大数据安全平台

大数据安全平台所有产品

下一代防火墙

下一代防火墙所有产品

安全网关

安全网关所有产品

检测管理安全

检测管理安全所有产品

安全服务

安全服务所有产品

安全云

安全云所有产品

所有技术解决方案

软件

软件所有产品

< 返回产品

软件主页

软件

网络管控产品

网络管控产品所有产品

IT运维产品

IT运维产品所有产品

所有技术解决方案

身份管理

身份管理所有产品

< 返回产品

身份管理主页

身份管理

安全管理系列

安全管理系列所有产品

运营管理系列

运营管理系列所有产品

身份中台

身份中台所有产品

服务产品

服务产品所有产品

< 返回产品

服务产品主页

服务产品

基础实施服务

基础实施服务所有产品

基础维护服务

基础维护服务所有产品

运维管理服务

运维管理服务所有产品

整网服务

整网服务所有产品

安全服务

安全服务所有产品

备件与扩容服务

备件与扩容服务所有产品

培训与认证服务

培训与认证服务所有产品

官方商城

锐捷睿易

体验中心

布尔实验室

网络研讨会

行业

< 返回主菜单

行业

运营商

< 返回行业

运营商首页 >

运营商

政府

< 返回行业

政府首页 >

政府

金融

< 返回行业

金融首页 >

金融

互联网

< 返回行业

互联网首页 >

互联网

制造业

< 返回行业

制造业首页 >

制造业

高教/职教

< 返回行业

高教/职教首页 >

高教/职教

普教

< 返回行业

普教首页 >

普教

医疗卫生

< 返回行业

医疗卫生首页 >

医疗卫生

交通

< 返回行业

交通首页 >

交通

公共安全

< 返回行业

公共安全首页 >

公共安全

锐捷睿易

体验中心

网络研讨会

解决方案

< 返回主菜单

行业

技术及场景解决方案

交换机所有产品

< 返回解决方案

交换机

EDN体验驱动网络

热门方案

EDN体验驱动网络解决方案

面向金融、教育、企业等行业园区网以及分支网场景，从客户体验角度出发，打造弹性组网体验、优质用网体验、便捷安全体验、轻松运维体验，助力打造智慧园区，加速企业数字化转型。

算力互联

热门方案

AI Fabric智算中心网络解决方案

面向大规模智算场景，采用高带宽、低时延的RoCE无损网络设计，为各行业用户提供灵活组网、智能调优、智能运维的算力中心建设方案。

智能园区与无线网络

热门方案

Wi-Fi 7医疗新一代全院零漫游解决方案

面向病房、门诊、科室等医疗场景，搭建高速、稳定、安全、简运维，适配未来医疗业务演进的无线网络，提升医疗服务效率和质量，助力智慧医院高效建设。

全光网

热门方案

极简以太全光解决方案3.X

面向教育、医疗、办公、智能制造等企业级园区应用场景，提供一张高效、稳定、简运维且极具前瞻性的全光网络

网安融合

热门方案

锐捷网络出口网安融合解决方案

面向高教、普教、政府、企业、医疗等用户的网络出口等场景, 通过网安融合，提供横向全域风险检测能力，并可通过本地情报库降低安全风险外溢，同时提供自动溯源和安全告警能力，帮助运维人员提升日常安全运维管理效率。

云桌面

热门方案

安全云办公3.0解决方案

通过可靠的虚拟化平台、丰富的功能特性，为用户提供高安全、高体验、高效率的桌面办公方案。

行业解决方案

交换机所有产品

< 返回解决方案

交换机

运营商

运营商全部解决方案

政府

政府全部解决方案

金融

金融全部解决方案

互联网

互联网全部解决方案

制造业

制造业全部解决方案

高教/职教

高教/职教全部解决方案

普教

普教全部解决方案

医疗卫生

医疗卫生全部解决方案

交通

交通全部解决方案

公共安全

公共安全全部解决方案

锐捷睿易

体验中心

网络研讨会

服务支持

< 返回主菜单

服务与支持中心

服务与支持

服务工具

服务平台

技术支持

服务产品

产品服务

教学服务

合作伙伴

< 返回主菜单

合作伙伴中心

合作伙伴

成为锐捷伙伴

售前营销

销售与订单

售后及服务

用户中心

关于锐捷

< 返回主菜单

关于锐捷首页

关于锐捷

公司介绍

公司动态

加入我们

联系我们

营销资料平台

投资者关系

返回主菜单

选择区域/语言

Global / English

Japan / 日本語

Türkiye / Türkçe

Vietnam / Việt Nam

Indonesia / Indonesian

Thailand / ภาษาไทย

Spain / Español (España)

Portugal / Português

France / Français

Poland / Polski

Kazakhstan / Pусский

Germany / Deutsch

Italy / Italiano

Brazil / Português(Brazil)

LATAM / Español (América Latina))

首页 >服务与支持 >常见问题 >【WALL1600下一代防火墙】下一代防火墙旁路模式典型功能数字证书方式NGFW+NGFW

【WALL1600下一代防火墙】下一代防火墙旁路模式典型功能数字证书方式NGFW+NGFW

发布时间：2013-09-15

点击量：2119

一、组网需求

如下图所示：NGFW1作为旁路模式接在核心交换机上，NGFW1与NGFW2之间建立IPSec VPN，实现两个局域网间的安全互访通信。

各参数配置如下，两端参数需保持一致：

模式：主模式；

认证方式：RSA签名

IKE算法：DES-MD5，DH2

IPSec协商交互方案：esp(3des-md5)

完美向前：group2

二、网络拓扑

三、配置要点

1、NGFW1生成根证书和用户证书

2、配置NGFW1

a、配置接口地址

b、配置地址资源

c、配置路由

d、导入根证书和本地证书

e、配置IKE策略

f、配置ipsec策略（当有穿越NAT时，AH选择为NULL，且两端配置保持一致）

g、配置安全策略

3、配置NGFW2

a、配置接口地址

b、配置地址资源

c、配置NAT、路由

d、导入根证书和本地证书

e、配置IKE策略

f、配置ipsec策略

g、配置安全策略

4、配置路由器

将IPSEC协商使用的UDP端口500和4500映射到外网：

ip nat inside source static udp 192.168.2.1 4500 192.168.33.51 4500 permit-inside

ip nat inside source static udp 192.168.2.1 500 192.168.33.51 500 permit-inside

5、配置交换机

6、VPN建立失败基本排查思路：

a、第一阶段建立失败：

检查VPN的两台设备之前的连通性是否可达，两台设备互ping看是否连通，若不通，先检查网络连通性。

检查IKE协商配置：IKE策略是否一致（加密算法和认证算法）、预共享密钥是否一致、对端IP地址是否指对、协商模式是否一致；

b、若第一阶段建立成功，第二阶段建立失败：

检查IPSec协商配置：安全策略是否配置正确，是否启用--IPSEC转换集各参数是否一致--两端的感兴趣流是否对称；

c、若还是不能解决，请致电锐捷客服热线4008111000或登录官网的在线客服寻求帮助。

四、操作步骤

1、NGFW1生成根证书和用户证书

填写证书相关信息

证书生成后，将证书导出到本地电脑上保存：

导出PEM格式：

生成本地证书，分别生成NGFW1和NGFW2两个证书：

生成NGFW1证书：填写NGFW1相关信息

生成NGFW2证书：填写NGFW2相关信息

分别答发两个证书，证书生成后需签发后才有效：

输入有效期天数和证书密码：

输入有效期天数和证书密码：

签发后将证书下载到本地保存：

导出的根证书，本地证书如下图：

2、配置NGFW1

a、配置接口地址

b、配置地址资源

c、配置路由

d、导入根证书和本地证书

导入本地证书，密码与刚才生成证书时设置的密码一致。

e、配置IKE策略

网关名称：标识对端网关的名称

IP地址：对端设备的公网IP地址192.168.33.57

认证方式：RSA签名

证书选择刚才导入的本地证书：NGFW1

本地ID：填写本地出口路由器的公网IP地

f、配置ipsec策略

g、配置安全策略

配置IPSEC安全策略：

配置192.168.10.0/24网段访问安全策略：

配置安全策略后务必勾选“启用”：

3、配置NGFW2

a、配置接口地址

b、配置地址资源

c、配置NAT、路由

d、导入根证书和本地证书

导入本地证书，密码与刚才生成证书时设置的密码一致。

e、配置IKE策略

f、配置ipsec策略

g、配置安全策略

配置后务必勾选“启用”才能生效。

4、配置路由器

配置内网口IP地址：

interface GigabitEthernet 0/0

ip nat inside

ip address 192.168.1.3 255.255.255.0

配置外网口IP地址：

interface GigabitEthernet 0/1

ip nat outside

ip address 192.168.33.51 255.255.255.0

配置NAT地址池ruijie及NAT转换：

access-list 1 permit any

ip nat pool ruijie prefix-length 24

address 192.168.33.51 192.168.33.51 match interface GigabitEthernet 0/1

ip nat inside source list 1 pool ruijie

配置端口映射：

将IPSEC协商使用的UDP端口500和4500映射到外网：

ip nat inside source static udp 192.168.2.1 4500 192.168.33.51 4500 permit-inside

ip nat inside source static udp 192.168.2.1 500 192.168.33.51 500 permit-inside

若想外网用户能管理NGFW，可将NGFW的443端口映射到公网上：

ip nat inside source static tcp 192.168.2.1 443 192.168.33.51 443 permit-inside

配置默认路由：

ip route 0.0.0.0 0.0.0.0 192.168.33.1

配置回指静态路由：

ip route 192.168.2.0 255.255.255.0 192.168.1.2

ip route 192.168.10.0 255.255.255.0 192.168.1.2

5、配置交换机

配置VLAN 10、配置int vlan 10的IP地址、将f0/1划入vlan 10：

vlan 10

interface VLAN 10

ip address 192.168.10.1 255.255.255.0

interface FastEthernet 0/1

switchport access vlan 10

配置f0/47的接口IP地址：

interface FastEthernet 0/47

no switchport

ip address 192.168.2.2 255.255.255.0

配置f0/48的接口IP地址：

interface FastEthernet 0/48

no switchport

ip address 192.168.1.2 255.255.255.0

配置默认路由：

ip route 0.0.0.0 0.0.0.0 192.168.1.3

配置192.168.20.0/24网段的下一跳指向NGFW的管理地址

ip route 192.168.20.0 255.255.255.0 192.168.2.1

五、验证效果

分别查看两台设备的IPSEC协商状态：

两端子网可以互相通信：

相关产品

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-MF2920系列，2口千兆电，千兆上行，一机双网

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆电，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，24口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆电，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列，48口千兆光，万兆上行，接入层

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列新一代千兆交换机

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S5310-E系列，PoE+，48口千兆电，万兆上行，接入层

RG-S7800C系列融合核心交换机

RG-S7800C系列融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-S7800C-X系列新一代融合核心交换机

RG-N18006-X，6槽机箱，核心层，零背板

RG-N18006-X，6槽机箱，核心层，零背板

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，24口万兆光，25G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列，48口万兆光，100G上行，汇聚层

RG-S6120系列融合万兆交换机

RG-S6120系列融合万兆交换机

RG-EG3250新一代多业务安全网关

RG-EG3250新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3230新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3220新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210 V2新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-EG3210新一代多业务安全网关

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-AP820-L(V3)双射频Wi-Fi 6无线AP

RG-WS7005-A多业务无线AC

RG-WS7005-A多业务无线AC

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP850-AR(V2)四射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP180-L双射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-AP880(TR)三射频Wi-Fi 6无线AP

RG-WS7208-A多业务无线AC

RG-WS7208-A多业务无线AC

RG-AP880-I双射频Wi-Fi 6无线AP

RG-AP880-I双射频Wi-Fi 6无线AP

RG-WS7880高性能无线AC

RG-WS7880高性能无线AC

RG-EG2100-P V2全能PoE网关

RG-EG2100-P V2全能PoE网关

RG-N18000-X系列

RG-N18000-X系列

RG-N18010-X，10槽机箱，核心层，零背板

RG-N18010-X，10槽机箱，核心层，零背板

RG-EG3000XE新一代高性能综合网关

RG-EG3000XE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-EG3000UE新一代高性能综合网关

RG-WS6816高性能无线AC

RG-WS6816高性能无线AC

RG-WS6108高性能无线AC

RG-WS6108高性能无线AC

RG-EG3000GE新一代高性能综合网关

RG-EG3000GE新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000ME新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000SE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG3000CE新一代高性能综合网关

RG-EG2000F

RG-EG2000F

RG-S2900G-E V3系列千兆交换机

RG-S2900G-E V3系列千兆交换机

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

RG-S2952G-E V3，48口千兆电，千兆上行，接入层

您可能还关注的问题

售前咨询
售后服务
意见反馈

返回顶部

收起

请选择服务项目

售前咨询

售后服务

意见反馈

更多联系方式

是否找到您想要的内容？

是

否

您遇到了什么问题？

找不到想要的信息

筛选功能不好用

加载速度太慢

页面体验差

提交

您是否找到了与产品相关的文档

是

否

筛选功能是否帮助您更快找到所需的文档？

有帮助

一般

没有帮助

没用过

请问您遇到了什么问题？

需要填写的内容太多

有些信息不懂怎么填

页面有问题/错误

其他

确定

这些客户案例是否对您有帮助？

非常有帮助

比较有帮助

没有帮助

请您对这个客户案例进行评价

兴趣度

相关性

可信度

确定

感谢您的反馈！

感谢您的反馈！