交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
无线管理与应用
智慧教室
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
普教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求:
1、 客户网络有两个分部的出口分别使用我司防火墙wall160t和RSR20路由器,现需要实现让防火墙内部的子网20.0.0.0/24与RSR20内部的子网10.0.0.0/24间能通过IPSec VPN互相访问。
2、防火墙和RSR20外网口均是静态地址
3、VPN参数
IKE阶段的参数(以下参数两端必须配置一致):
身份验证方式为:预共享密钥
预共享密钥:ruijie
hash算法为:MD5
DH算法:1
IPSEC变换集参数(以下参数两端必须配置一致):
用ESP方式建立VPN
采用传输模式
需要走VPN的流量:
20.0.0.0/24到10.0.0.0/24
二、组网拓扑:
三、配置要点:
1 、基本的上网配置,保证网络连通
vpn成功建立的前提是两端路由可达。故在配置VPN前先进行ping测试,保证网络连通性。
2、启用VPN功能
3、配置IKE阶段参数
4、配置ipsec变换集参数
5、配置安全规则
放通IKE服务的包过滤,且移动到安全规则的第一条。
放通感兴趣流的包过滤,且让基走VPN隧道。
6、配置RSR路由器
注:防火墙web界面上默认是没有VPN模块,可收集设备序列号、设备型号、设备版本等信息向4008申请欠费的10个lisence。超出部分另外购买即可。导入lisence后,web界面才会有vpn配置部分。
四、配置步骤 :
以下配置是在wall160m的3.6.2.0 ( - 5.2.12.0RGO )版本上完成。
1、基本的上网配置 --请参见--单线路上网配置章节
配置接口:
配置路由:
NAT规则:
添加地址列表:
建立ipsec vpn的前提条件是保证wall160t与rsr20之间的网络连通性是好的
最直接的测试方法为:从wall160t和rsr20互相ping的通对端的接口地址
防火墙上测试网络连通性:
菜单>>系统监控>>IP诊断>>在IP地址或域名处填入对端的IP地地址:192.168.33.37,点ping
如下图所示,是可以Ping通的
2、启用VPN功能
菜单>>VPN配置>>IPsecVPN>>基本配置,启用VPN功能,填写默认预共享密钥为“ruijie”可随意填写,只要两端设备上一致。其他配置保持默认值。
3、配置IKE阶段参数
菜单>>VPN配置>>IPsecVPN>>VPN端点>>添加
VPN端点名称:填写设备名称
地址形式:静态IP地址/域名
IP地址或域名:填写对端外网IP地址
身份认证方式:预共享密钥方式
预共享密钥:ruijie
DH方式:DH1
4、配置ipsec变换集参数
菜单>>VPN配置>>IPsecVPN>>VPN隧道>>添加
采用ESP方式建立
注一:当对端也为我司防火墙时,两边的proxy-id都可以设置为全0.如上图所示。
如果对端是其他厂商的设备,proxy-id填上实际的感兴趣流。即本地子网填:20.0.0.0 掩码:255.255.255.0;远程子网:10.0.0.0 掩码:255.255.255.0
5、 配置安全规则
菜单>>安全策略>>添加,放通IKE服务
放通访问两设备间访问的包过滤
放通需要走VPN的数据包过滤,并配置其走VPN隧道
6、配置RSR
ip access-list extended 100
10 permit ip 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255
crypto isakmp policy 1
authentication pre-share -----认证方式为预共享密钥
hash md5 -----采用md5的hash算法,对应防火墙的ipsec算法组件里的配置,两边配置一致
crypto isakmp key 0 ruijie address 172.18.10.96
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 5 ipsec-isakmp
set peer 172.18.10.96 ----设置对端路由器地址
set security-association lifetime kilobytes 3600 -----IPSsec密钥生存期,需与防火墙上的配置一致,一般保持默认值即一致。
set security-association lifetime seconds 28800 -----IKE密钥生存期,需与防火墙上的配置一致
set transform-set myset ----应用之前定义的变换集
match address 100 ----定义需要加密的数据流
interface FastEthernet 0/0
ip address 192.168.33.37 255.255.255.0
crypto map mymap
interface FastEthernet 0/1
ip address 10.0.0.1 255.0.0.0
ip route 20.0.0.0 255.0.0.0 192.168.33.38
五、配置验证:
菜单>>系统监控>>IPSsecVPN隧道监控,状态为“established”即隧道建立成功。
RSR上查看ipsec vpn建立状态:
Ruijie#show crypto isakmp sa
destination source state conn-id lifetime(second)
172.18.10.96 192.168.33.37 QM_IDLE 33 25993