网络拓扑:
网络拓扑说明及目的:防火墙和路由通过IPSEC的方式进行连接,方便于内网互访。
防火墙设置:
以爱快防火墙对接爱快路由为例讲解。
网络--vpn--IPSEC,添加IPSEC vpn。
【网关名称】:给vpn一个备注信息。
【类型】:类型可选IKEv1和IKEv2以及国密。选择IKEv1时需要选择模式,模式分别为野蛮模式、主模式,有的设备野蛮模式又称为积极模式。
【本地网关】:可选IP地址或接口。
【本地IP地址】:填写防火墙外网接口IP地址或选择外网接口。
【对端网关】:支持填写静态IP或动态IP,暂不支持填写域名。
【IP地址】:填写对端IPSEC vpn对接设备的外网IP地址。
【模式】:模式可选野蛮模式和主模式,有的设备野蛮模式又称为积极模式,两端对接设备的模式需要选择一致,此处以主模式为例。
【认证方式】:可选预共享密钥和证书。
【预共享密钥】:两端对接设备的预共享秘钥需要填写一致。
【证书】:设置签名证书。
【IKE协商交互方案】:选择加密算法和认证,两端设备需要设置一致。DH组对应爱快路由的mode值。IPsec group 1对应的为modp768,group 2对应modp1024,group5对应modp1536 ,group14对应modp2048,group15对应modp3072,group16对应modp4096,group17对应modp6144,group18对应modp8192。
【秘钥周期】:秘钥周期对应爱快路由的IKE存活时间设置,需要注意单位的换算。
【本地ID、对端ID】:标识双方身份,本地标识和对方标识不能配置为相同且不能为空。
设置完成保存配置。点击操作处“+”。
配置通道信息。
【通道名称】:设置通道名称。
【IPSEC协商交互方案】:选择ESP加密算法和认证类型,两端设备需要设置一致。
【超时时间】:对应爱快路由的ESP超时时间。
Ipsec策略:
【源地址】:填写防火墙IP网段。
【目的地址】:填写路由内网网段。
【通道】:选择所创建的通道。
路由器配置如下:
【对方IP/域名】:填写防火墙IP地址。
【本地子网】:填写路由内网网段。
【对方子网】:填写防火墙网段。
【IKE版本】:IKE版本需要和防火墙所选择“类型”一致。
【IKE协商模式】:需要和防火墙的模式选择一致。
【IKE存活时间】:与防火墙密钥周期设置时间一致,此处需要注意单位的换算。
【IKE提议】:IK提议对应防火墙“IKE协商交互方案”,两端需设置一致。
【认证方式】:认证方式可选预共享密钥和自签证书,认证方式与防火墙设置一致。
【预共享密钥】:如认证方式选择预共享密钥,那么需要两端的密钥都一样。
【本地标识、对方标识】:标识双方身份,本地标识和对方标识不能配置为相同且不能为空。
【ESP存活时间】:防火墙上“超时时间”对应此设置,需注意单位换算。
【ESP加密算法】:防火墙上“IPSEC协商交互方案”功能对应此设置,两端设备需填写一致。
【ESP认证算法】:防火墙上“IPSEC协商交互方案”功能对应此设置,两端设备需填写一致。
Ipsec vpn拨号成功验证:
路由IPSEC状态显示已连接代表设置成功。
设置完成点击右上角保存配置。