使用 ISA ISA 配置 IPSec ××× ,或使用硬件防火墙跟硬件防火墙之间配置 IPSec ××× ,都比较简单,只要两边做一样的设置就可以了。但是如果使用 ISA 跟硬件防火墙之间做 IPSec ××× 配置就有些不一样了,因为这里涉及到一个认证的问题,如果配置不正确就无法连通网络。今天我们就使用 ISA Netscreen 5GT 配置 IPSec ××× 来说明一下 ISA 同硬件防火墙之间的 IPSec ××× 配置。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

实验环境如下图:

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 

下面我们来看看具体的一些配置步骤:

一、 ISA 部分

ISA ××× 配置主要有三步:

1 )建立远程站点网络

2 )建立网络规则

3 )建立访问策略

 

1. 首先我们需要新建一个远程站点网络,如下图:

给新建的远程站点网络命名,这里我命名为“ huizhou ”,点 Next ,如下图:

在“ ××× 协议”对话框中选择“ IP 安全协议( IPSec )隧道模式”,点 Next ,如下图:

在“连接设置”对话框,输入远程 ××× 网关的 IP 地址(即 Netscreen 的外部 IP 地址),选择 ISA 的外网卡为本地网关 IP 地址,然后点 Next ,如下图:

在“ IPSec 身份验证”中输入预共享密钥,然后点 Next ,如下图:

在“网络地址”对话框中,输入远程 ××× 网络的内网 IP 地址集,如下图:

点击“ Finish ”完成。

完成后,别忘记了点击“应用”,在 ISA 中需要点击了“应用”配置才会生效。

2. 接下来,我们需要建立一个网络规则,如下图:

输入网络规则名称,然后点击 Next ,如下图:

在“网络通讯源”对话框中,点击“添加”,将远程网络“ huizhou ”添加进来,然后点 Next ,如下图:

在“网络通讯目标”对话框中,点击“添加”,将“内部”网络添加进来,然后点击 Next ,如下图:

在“网络关系”对话框中,选择“路由”,然后点击 Next ,如下图:

点击“ Finish” 完成。同样,也需要点击“应用”,应用刚才的设定。

3. ××× 网络添加访问策略,如下图:

在向导对话框中,输入策略名称,点击 Next ,如下图:

在“规则操作”对话框中,选择“允许”,点 Next ,如下图:

在“协议”对话框中,可以选择需要的协议,选择好后点 Next ,如下图:

在“访问规则源”对话框中,点击“添加”,将远程 ××× 网络“ huizhou ”添加进来,然后点击 Next ,如下图:

在“访问规则目标”对话框中,点击“添加”,将“内部”网络添加进来,如下图:

“用户集”对话框默认就可以了,直接点击 Next ,如下图:

点击“ Finish ”完成。点击“应用”, ISA 端的 ××× 设置就完成了。

 

二、 Netscreen 端设置

Netscreen 的配置主要有 6 步:

1 )配置网卡

2 )配置网络地址段

3 )配置网关

4 )配置 IKE

5 )配置路由

6 )配置访问策略

 

1. 首先,需要设置好 Netscreen 的网络接口。

点击“ Network->Interfaces ”,在 Trust 网络中点击 Edit ,修改内部网卡的 IP 地址。注意这里 Zone Nme 为“ Trust ”, Interface Mode 为“ NAT ”, 如下图:

点击“ Network->Interfaces ”,在 Untrust 网络中点击 Edit ,修改外部网卡的 IP 地址。注意这里“ zone name Untrust ”, interface Mode 为“ Route ”, 如下图:

2. 配置网络地址段

在“ Objects->addresses->list ”下,点 New 建立“ Shenzhen ”的 IP 地址段,注意这里 zone Untrust ,如下图:

在“ Objects->addresses->list ”下,点 New 建立“ HZ LAN ”的 IP 地址段,注意这里 zone Trust ,如下图:

3. 配置网关

点“ ×××s->AutoKey Advanced->Gateway->New ”,

Gateway Name 中输入网关名字“ Shenzhen ”,

Security Level 中选择 Custom

Static IP Address 中输入 ISA 的外网 IP <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 10.1.1 .5

Preshared Key 中输入刚才预设的共享密钥: ***net

Outgoing interface 中选择 Untrust

如下图:设置好后点击 Advanced

Advanced 对话框中,在“ Security Level ”中选择 Custom ,在“ Phase 1 Proposal ”中选择“ Pre-g2-3des-sha ”,如下图,然后点击 Return ,回到上一个界面,再点 OK 完成网关设置。

4. 配置 IKE

点击“ ×××s->AutoKey IKE->New ”,

在“ ××× Name ”中输入 ××× 名称,

在“ Security Level ”中选择 Custom

Remote Gateway 中选择 Predefined ,在其后面的选项框中选择刚才建的网关“ Shenzhen ”,

如下图:然后点击 Advanced

Advanced 对话框中,在“ Security Level ”中,选择 Custom ,在“ Phase 2 Proposal ”中选择“ g2-esp-3des-sha ”,然后点 return ,回到前一对话框,再点 OK 完成。

5. 配置路由

点“ Network->Routing->Destination->New ”,在“ IP Address/Netmask ”中输入地址 0.0.0 .0/0 ,在“ Next Hop ”中选择 Gateway

Interface 中选择 Untrust

Gateway IP Address 中输入网关地址 10.0.0 .250 ,点 OK 完成,如下图:

6. 配置 Policies (访问策略)

点击“ Policies-> from:Untrust to:trust New ”,

Source Address 中选择对端网络“ Shenzhen ”,

Destination Address 中选择本地网络“ HZ LAN ”,

Action 中选择“ Tunnel ”,

Tunnel *** 中选择刚才建立的“ HZ to Shenzhen ”,

勾选“ Modify matching bidiretional ××× policy ”和 Logging ,点 OK 完成。

在创建 untrust to trust 后,系统会自动建一跳 trust to untrust 的策略,如下图:

 

至此, ISA Netscreen 的设置都已经完成了,下面我们来测试一下:

在“ Shenzhen ”网络里面 ping huizhou ”网络的地址,如下图,可以 ping 通:

在“ huizhou ”网络里面 ping Shenzhen ”的网络地址,如下图,也可以 ping 通。

OK ,整个 ××× 网络架设完成,这里主要的问题是 netscreen Phase 1 Proposal Phase 2 Proposal 的设置,这里如果搞错了,整个 ××× 网络就不通。大家在配置时,需要注意下。