|
网络拓扑: 网络拓扑说明及目的:防火墙和路由通过IPSEC的方式进行连接,方便于内网互访。
防火墙设置: 以爱快防火墙对接爱快路由为例讲解。 网络--vpn--IPSEC,添加IPSEC vpn。 【网关名称】:给vpn一个备注信息。 【类型】:类型可选IKEv1和IKEv2以及国密。选择IKEv1时需要选择模式,模式分别为野蛮模式、主模式,有的设备野蛮模式又称为积极模式。 【本地网关】:可选IP地址或接口。 【本地IP地址】:填写防火墙外网接口IP地址或选择外网接口。 【对端网关】:支持填写静态IP或动态IP,暂不支持填写域名。 【IP地址】:填写对端IPSEC vpn对接设备的外网IP地址。 【模式】:模式可选野蛮模式和主模式,有的设备野蛮模式又称为积极模式,两端对接设备的模式需要选择一致,此处以主模式为例。 【认证方式】:可选预共享密钥和证书。 【预共享密钥】:两端对接设备的预共享秘钥需要填写一致。 【证书】:设置签名证书。 【IKE协商交互方案】:选择加密算法和认证,两端设备需要设置一致。DH组对应爱快路由的mode值。IPsec group 1对应的为modp768,group 2对应modp1024,group5对应modp1536 ,group14对应modp2048,group15对应modp3072,group16对应modp4096,group17对应modp6144,group18对应modp8192。 【秘钥周期】:秘钥周期对应爱快路由的IKE存活时间设置,需要注意单位的换算。 【本地ID、对端ID】:标识双方身份,本地标识和对方标识不能配置为相同且不能为空。
设置完成保存配置。点击操作处“+”。
配置通道信息。 【通道名称】:设置通道名称。 【IPSEC协商交互方案】:选择ESP加密算法和认证类型,两端设备需要设置一致。 【超时时间】:对应爱快路由的ESP超时时间。
Ipsec策略: 【源地址】:填写防火墙IP网段。 【目的地址】:填写路由内网网段。 【通道】:选择所创建的通道。 路由器配置如下: 【对方IP/域名】:填写防火墙IP地址。 【本地子网】:填写路由内网网段。 【对方子网】:填写防火墙网段。 【IKE版本】:IKE版本需要和防火墙所选择“类型”一致。 【IKE协商模式】:需要和防火墙的模式选择一致。 【IKE存活时间】:与防火墙密钥周期设置时间一致,此处需要注意单位的换算。 【IKE提议】:IK提议对应防火墙“IKE协商交互方案”,两端需设置一致。 【认证方式】:认证方式可选预共享密钥和自签证书,认证方式与防火墙设置一致。 【预共享密钥】:如认证方式选择预共享密钥,那么需要两端的密钥都一样。 【本地标识、对方标识】:标识双方身份,本地标识和对方标识不能配置为相同且不能为空。 【ESP存活时间】:防火墙上“超时时间”对应此设置,需注意单位换算。 【ESP加密算法】:防火墙上“IPSEC协商交互方案”功能对应此设置,两端设备需填写一致。 【ESP认证算法】:防火墙上“IPSEC协商交互方案”功能对应此设置,两端设备需填写一致。 Ipsec vpn拨号成功验证:
路由IPSEC状态显示已连接代表设置成功。 防火墙监视器处状态显示为“协商成功”代表可正常通信。 设置完成点击右上角保存配置。
| 
/1 
|小黑屋|手机版|Archiver|论坛规章制度|iKuai Inc.
( 京ICP备13042604号 )
发表于 2022-7-1 16:46:08
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
支持
反对
发表于 2022-7-2 21:47:06