網(wǎng)絡(luò)拓?fù)洌?/span>
?
網(wǎng)絡(luò)拓?fù)湔f明及目的:防火墻和路由通過IPSEC的方式進(jìn)行連接,方便于內(nèi)網(wǎng)互訪。
?
防火墻設(shè)置:
以愛快防火墻對接愛快路由為例講解。
網(wǎng)絡(luò)--vpn--IPSEC,添加IPSEC vpn。
?
【網(wǎng)關(guān)名稱】:給vpn一個備注信息。
【類型】:類型可選IKEv1和IKEv2以及國密。選擇IKEv1時需要選擇模式,模式分別為野蠻模式、主模式,有的設(shè)備野蠻模式又稱為積極模式。
【本地網(wǎng)關(guān)】:可選IP地址或接口。
【本地IP地址】:填寫防火墻外網(wǎng)接口IP地址或選擇外網(wǎng)接口。
【對端網(wǎng)關(guān)】:支持填寫靜態(tài)IP或動態(tài)IP,暫不支持填寫域名。
【IP地址】:填寫對端IPSEC vpn對接設(shè)備的外網(wǎng)IP地址。
【模式】:模式可選野蠻模式和主模式,有的設(shè)備野蠻模式又稱為積極模式,兩端對接設(shè)備的模式需要選擇一致,此處以主模式為例。
【認(rèn)證方式】:可選預(yù)共享密鑰和證書。
【預(yù)共享密鑰】:兩端對接設(shè)備的預(yù)共享秘鑰需要填寫一致。
【證書】:設(shè)置簽名證書。
【IKE協(xié)商交互方案】:選擇加密算法和認(rèn)證,兩端設(shè)備需要設(shè)置一致。DH組對應(yīng)愛快路由的mode值。IPsec group 1對應(yīng)的為modp768,group 2對應(yīng)modp1024,group5對應(yīng)modp1536 ,group14對應(yīng)modp2048,group15對應(yīng)modp3072,group16對應(yīng)modp4096,group17對應(yīng)modp6144,group18對應(yīng)modp8192。
【秘鑰周期】:秘鑰周期對應(yīng)愛快路由的IKE存活時間設(shè)置,需要注意單位的換算。
【本地ID、對端ID】:標(biāo)識雙方身份,本地標(biāo)識和對方標(biāo)識不能配置為相同且不能為空。
?
設(shè)置完成保存配置。點擊操作處“+”。
?
配置通道信息。
【通道名稱】:設(shè)置通道名稱。
【IPSEC協(xié)商交互方案】:選擇ESP加密算法和認(rèn)證類型,兩端設(shè)備需要設(shè)置一致。
【超時時間】:對應(yīng)愛快路由的ESP超時時間。
?
Ipsec策略:
?
【源地址】:填寫防火墻IP網(wǎng)段。
【目的地址】:填寫路由內(nèi)網(wǎng)網(wǎng)段。
【通道】:選擇所創(chuàng)建的通道。
?
?
路由器配置如下:
?
【對方IP/域名】:填寫防火墻IP地址。
【本地子網(wǎng)】:填寫路由內(nèi)網(wǎng)網(wǎng)段。
【對方子網(wǎng)】:填寫防火墻網(wǎng)段。
【IKE版本】:IKE版本需要和防火墻所選擇“類型”一致。
【IKE協(xié)商模式】:需要和防火墻的模式選擇一致。
【IKE存活時間】:與防火墻密鑰周期設(shè)置時間一致,此處需要注意單位的換算。
【IKE提議】:IK提議對應(yīng)防火墻“IKE協(xié)商交互方案”,兩端需設(shè)置一致。
【認(rèn)證方式】:認(rèn)證方式可選預(yù)共享密鑰和自簽證書,認(rèn)證方式與防火墻設(shè)置一致。
【預(yù)共享密鑰】:如認(rèn)證方式選擇預(yù)共享密鑰,那么需要兩端的密鑰都一樣。
【本地標(biāo)識、對方標(biāo)識】:標(biāo)識雙方身份,本地標(biāo)識和對方標(biāo)識不能配置為相同且不能為空。
【ESP存活時間】:防火墻上“超時時間”對應(yīng)此設(shè)置,需注意單位換算。
【ESP加密算法】:防火墻上“IPSEC協(xié)商交互方案”功能對應(yīng)此設(shè)置,兩端設(shè)備需填寫一致。
【ESP認(rèn)證算法】:防火墻上“IPSEC協(xié)商交互方案”功能對應(yīng)此設(shè)置,兩端設(shè)備需填寫一致。
?
?
Ipsec vpn撥號成功驗證:
?
路由IPSEC狀態(tài)顯示已連接代表設(shè)置成功。
?
設(shè)置完成點擊右上角保存配置。
?
?
