目录
Ⅰ 接口模式
一、组网需求
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
二、网络拓扑
三、配置要点
1、配置NGFW1
1)基本上网配置
2)IKE阶段1
3)IKE阶段2
4)配置路由
5)配置策略
2、配置NGFW2
1)基本上网配置
1)IKE阶段1
3)IKE阶段2
4)配置路由
5)配置策略
说明:如果要删除IPSEC VPN第一阶段、第二阶段时,需要先删除被调用的路由或防火墙安全策略。
四、配置步骤
1、配置NGFW1
1)基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP配置如下:
路由配置如下
2)IKE阶段1
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段1”
配置阶段一的相关参数:如下图
名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字
远程网关: 静态IP
IP地址: 对端防火墙的外网接口的IP地址200.1.1.2
本地接口: 防火墙与对端设备建立VPN所使用的接口,通常为外网接口.
认证方式: 与共享秘钥
与共享秘钥: 秘钥,两端设备相同即可。
启动IPsec接口模式:勾选,
其他参数适用默认参数,参数细节请参考"阶段1参数"一节
3)IKE阶段2
进入:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段12”
配置阶段2基本参数
名称:阶段2 的名字, vpn2
阶段1: 该阶段2 关联的阶段1,选择vpn1.
点击高级选项, 弹出高级参数选项。
勾选弹出选项中的“保持存活” 其他默认。
4)配置vpn路由
菜单:路由--静态--静态路由,点击“新建”
按如下方式,添加对端保护网段的vpn静态路由
目的IP/子网掩码: 对方防火墙所保护的子网,192.168.1.0 ,
设备: 配置VPN所生成的接口,选择vpn1。
5)配置策略
菜单: 防火墙--策略--策略, 点击 “新建”
按如下方式创建两条策略,通过该策略对两端2个子网之间的访问进行控制,NAT,UTM防护等,
第1条策略: 允许本地的192.168.0.0网段,访问对端的192.168.1.0网段
第2条策略: 允许对端的192.168.1.0网段,访问本端的192.168.0.0网段
2、配置NGFW2
1)基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP配置如下:
路由配置如下:
2)IKE阶段1
菜单:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段1”
配置阶段1的相关参数
名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字
远程网关: 静态IP地址
IP地址: 对端防火墙的外网接口的IP地址100.1.1.2
本地接口: 防火墙与对端设备建立VPN所使用的接口,选择wan1.
认证方式: 与共享秘钥
与共享秘钥: 秘钥,两端设备相同即可。
启动IPsec接口模式:勾选,
其他参数适用默认参数,参数细节请参考"阶段1参数"一节
3)IKE阶段2
菜单:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段2”
配置阶段2的基本参数
名称:阶段2 的名字, vpn2
阶段1: 该阶段2 关联的阶段1,选择vpn.
点击高级选项, 弹出高级参数选项。
勾选弹出选项中的“保持存活” 其他默认。
4)配置vpn路由
菜单:路由--静态--静态路由,点击“新建”
按如下方式,添加对端保护网段的vpn路由
目的IP/子网掩码: 对方防火墙所保护的子网,192.168.1.0/24
设备: 配置VPN所生成的接口,选择vpn。
5)配置策略
菜单: 防火墙--策略--策略, 点击 “新建”
按如下方式创建两条策略,。通过该策略对两端2个子网之间的访问进行控制,NAT,UTM防护等,
第1条策略: 允许本地的192.168.1.0网段,访问对端的192.168.0.0网段
第2条策略: 允许对端的192.168.0.0网段,访问本端的192.168.1.0网段
五、检查配置结果
查看VPN监视器,观察状态: 进入“虚拟专网”--“监视器”--"IPsec监测”
Ⅱ 策略模式
一、组网需求
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信
二、网络拓扑
三、配置要点
1、配置NGFW1
1)基本上网配置
2)IKE阶段1
3)IKE阶段2
4)配置策略
2、配置NGFW2
1)基本上网配置
2)IKE阶段1
3)IKE阶段2
4)配置策略
说明:如果要删除IPSEC VPN第一阶段、第二阶段时,需要先删除被调用的路由或防火墙安全策略。
四、配置步骤
1、配置NGFW1
1)基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP配置如下:
路由配置如下
2)IKE阶段1
菜单:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段1”
配置阶段1的相关参数
名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字
远程网关: 静态IP地址
IP地址: 对端防火墙的外网接口的IP地址,202.1.1.2
本地接口: 防火墙与对端设备建立VPN所使用的接口,通常为外网接口.
认证方式: 与共享秘钥
与共享秘钥: 秘钥,两端设备相同即可
启动IPsec接口模式:不勾选 “启动IPsec接口模式”,则为策略模式。
其他参数适用默认参数,参数细节请参考《阶段1参数》一节
3)IKE阶段2
菜单:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段2”
配置阶段2基本参数
名称:阶段2 的名字, vpn2
阶段1: 该阶段2 关联的阶段1,选择“vpn”.
点击高级选项, 弹出高级参数选项
勾选弹出选项中的“保持存活” 其他默认。
4)配置策略
菜单: 防火墙--策略--策略, 点击 “新建”
按如下方式创建策略,通过该策略对两端2个子网之间的访问进行控制,NAT,UTM防护等。
允许本地的192.168.0.0网段,访问对端的192.168.1.0网段,动作为IPSEC,VPN通道选择如上所建立的vpn,勾选 allow inbound, allow outbound。
注意:首先需要选择对应的目的接口/区(外网接口)后,才能选择对应的VPN通道。
将该策略移动到策略的顶部,被优先执行。
2、配置NGFW2
1)基本上网配置
配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节:
接口IP配置如下:
路由配置如下
2)IKE阶段1
菜单:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段1”
配置阶段1的相关参数
名称: VPN,用于标识作用,接口模式下,将用于VPN虚拟接口的名字
远程网关: 静态IP地址
IP地址: 对端防火墙的外网接口的IP地址,100.1.1.2
本地接口: 防火墙与对端设备建立VPN所使用的接口,通常为外网接口.
认证方式: 与共享秘钥
与共享秘钥: 秘钥,两端设备相同即可
启动IPsec接口模式:不勾选 “启动IPsec接口模式”,则为策略模式。
其他参数适用默认参数,参数细节请参考《阶段1参数》一节
3)IKE阶段2
菜单:虚拟专网--IPSEC--自动交换秘钥,点击“创建阶段2”
配置阶段2基本参数
名称:阶段2 的名字, vpn2
阶段1: 该阶段2 关联的阶段1,选择“vpn”.
点击高级选项, 弹出高级参数选项
勾选弹出选项中的“保持存活” 其他默认。
4)配置策略
菜单: 防火墙--策略--策略, 点击 “新建”
按如下方式创建两条策略,通过该策略对两端2个子网之间的访问进行控制,NAT,UTM防护等,
第1条策略: 允许本地的192.168.1.0网段,访问对端的192.168.0.0网段,动作为IPSEC,VPN通道选择如上所建立的vpn,
勾选 allow inbound, allow outbound。
将该策略移动到策略的顶部,被优先执行。
五、检查配置结果
查看VPN监视器,观察状态: 虚拟专网--监视器--IPsec检测。
两个网络采用 ping测试方式,192.168.1.0/24和192.168.0.0/24两个内网可以相互访问。
注意策略的顺序,将IPSEC略放到顶部。
六、注意事项
问:PSEC VPN策略模式,只需要建立一条策略,勾选inbound、outbound就可以实现互访?
答:Inbound 允许远端发起vpn连接。
Outbound 允许本地发起vpn连接。
分别控制2个方向是否可以发起vpn连接。具体访问的控制是通过策略实现的。