锐捷防火墙（WEB）——旁路部署IPSec

目录

一、组网需求

二、网络拓扑

三、配置要点

四、配置步骤

五、检查配置结果

---

一、组网需求

如图所示，通过VPN将2个局域网连接起来，实现192.1681.0/24与1.1.1.0/24两个网段的通信，  NGFW2 ，采用单臂模式部署。

 

二、网络拓扑

三、配置要点

       1、配置NGFW1

                   1）基本上网配置

                    2）IKE阶段1

                    3）IKE阶段2

                    4）配置路由

                    5）配置策略

               

       2、配置NGFW2

                   1）基本上网配置

                    1）IKE阶段1

                    3）IKE阶段2

                    4）配置路由

                    5）配置策略

说明：如果要删除IPSEC VPN第一阶段、第二阶段时，需要先删除被调用的路由或防火墙安全策略。

四、配置步骤

1、配置NGFW1

1)基本上网配置

配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节：

接口IP配置如下：

路由配置如下

2)IKE阶段1         

进入：虚拟专网--IPSEC--自动交换秘钥，点击“创建阶段1”

配置阶段一的相关参数：如下图

    

            名称： VPN，用于标识作用，接口模式下，将用于VPN虚拟接口的名字

            远程网关：  静态IP

            IP地址： 对端防火墙的外网接口的ＩＰ地址1.1.1.2

　　　  本地接口:  防火墙与对端设备建立VPN所使用的接口，通常为外网接口wan1

            认证方式：  与共享秘钥

            与共享秘钥：  秘钥，两端设备相同即可。 

            启动IPsec接口模式：勾选，

            其他参数适用默认参数，参数细节请参考"阶段1参数"一节

            3)IKE阶段2

            进入：虚拟专网--IPSEC--自动交换秘钥，点击“创建阶段12”

  配置阶段2基本参数

           名称：阶段2 的名字， vpn2

            阶段1： 该阶段2 关联的阶段1，选择vpn.    

            点击高级选项， 弹出高级参数选项。

            勾选弹出选项中的“保持存活” 其他默认。

            4）配置vpn路由

            菜单：路由--静态--静态路由，点击“新建”

 按如下方式，添加对端保护网段的vpn静态路由, 但需要配置1.1.1.2防火墙IP路由出口为wan1.

     5)配置策略

            菜单： 防火墙--策略--策略， 点击 “新建”

           按如下方式创建两条策略，通过该策略对两端2个子网之间的访问进行控制，NAT，UTM防护等，

           第1条策略： 允许本地的192.168.0.0网段，访问对端的192.168.1.0网段

 第2条策略： 允许对端的1.1.1.0网段，访问本端的192.168.1.0网段

2、配置NGFW2

            1)基本上网配置

            配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节：

            接口IP配置如下：

  路由配置如下：

            2)IKE阶段1

            菜单：虚拟专网--IPSEC--自动交换秘钥，点击“创建阶段1”

  配置阶段1的相关参数

            名称： VPN，用于标识作用，接口模式下，将用于VPN虚拟接口的名字

            远程网关：  静态IP地址

            IP地址： 对端防火墙的外网接口的ＩＰ地址192.168.118.14

　　　  本地接口:  防火墙与对端设备建立VPN所使用的接口，选择wan1.

            认证方式：  预共享秘钥

            与共享秘钥：  秘钥，两端设备相同即可。

            启动IPsec接口模式：勾选，

            其他参数适用默认参数，参数细节请参考"阶段1参数"一节

            3)IKE阶段2

            菜单：虚拟专网--IPSEC--自动交换秘钥，点击“创建阶段2”

   配置阶段2的基本参数

            名称：阶段2 的名字， vpn2

            阶段1： 该阶段2 关联的阶段1，选择vpn.

            点击高级选项， 弹出高级参数选项。

            勾选弹出选项中的“保持存活” 其他默认。

            4)配置vpn路由

            菜单：路由--静态--静态路由，点击“新建”

            

按如下方式，添加对端保护网段的vpn路由

            目的ＩＰ/子网掩码：  对方防火墙所保护的子网，192.168.1.0/24

            设备:  配置VPN所生成的接口，选择vpn。

            5）配置策略

            菜单： 防火墙--策略--策略， 点击 “新建”

            按如下方式创建两条策略，。通过该策略对两端2个子网之间的访问进行控制，NAT，UTM防护等，

            第1条策略： 允许本地的1.1.1.0网段，访问对端的192.168.1.0网段

  第2条策略： 允许对端的192.168.1.0网段，访问本端的1.1..1.0网段

          5）其他注意事项

             一般情况下1.1.1.3 的网关会配置为1.1.1.1， 需要在路由器1.1.1.1 上配置路由表，去往192.168.1.0 的网段发送到防护墙1.1.1.2。

              example：     ip route 192.168.1.0 255.255.255.0  1.1.1.2

       

五、检查配置结果

 

1   查看vpn状态

查看VPN监视器，观察状态： 进入“虚拟专网”--“监视器”--"IPsec监测”

两个网络采用 ping测试方式，192.168.1.0/24和1.1.1.0/24两个内网可以相互访问。

2  debug flow产看数据流

从 192.168.1.111 ping 1.1.1.3

NGFW1

dia deb flow 

id=13 trace_id=6 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 192.168.1.111:1->1.1.1.3:8) from internal. code=8, type=0, id=1, seq=41."

id=13 trace_id=6 func=resolve_ip_tuple_fast line=4375 msg="Find an existing session, id-0000071f, original direction"

id=13 trace_id=6 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-vpn"

id=13 trace_id=6 func=ipsec_output_finish line=232 msg="send to 192.168.118.1 via intf-wan1"

id=13 trace_id=6 func=esp_output4 line=889 msg="encrypting, and send to 1.1.1.2 with source 192.168.118.14"

NGFW2

id=25823 trace_id=5 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 192.168.1.111:1->1.1.1.3:8) from vpn. code=8, type=0, id=1, seq=44."id=25823 trace_id=5 func=init_ip_session_common line=4472 msg="allocate a new session-00000087"

id=25823 trace_id=5 func=vf_ip4_route_input line=1600 msg="find a route: flags=00000000 gw-1.1.1.3 via wan1"

id=25823 trace_id=5 func=fw_forward_handler line=687 msg="Allowed by Policy-3:"

id=25823 trace_id=6 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 1.1.1.3:1->192.168.1.111:0) from wan1. code=0, type=0, id=1, seq=44."

id=25823 trace_id=6 func=resolve_ip_tuple_fast line=4375 msg="Find an existing session, id-00000087, reply direction"

id=25823 trace_id=6 func=vf_ip4_route_input line=1600 msg="find a route: flags=00000000 gw-192.168.1.111 via vpn"

id=25823 trace_id=6 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-vpn"

id=25823 trace_id=6 func=ipsec_output_finish line=232 msg="send to 1.1.1.1 via intf-wan1"

id=25823 trace_id=6 func=esp_output4 line=889 msg="encrypting, and send to 192.168.118.14 with source 1.1.1.2"

       

从  1.1.1.3 ping 192.168.1.200

NGFW2：

id=25823 trace_id=23 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 1.1.1.3:1024->192.168.1.200:8) from wan1. code=8, type=0, id=1024, seq=0."

id=25823 trace_id=23 func=init_ip_session_common line=4472 msg="allocate a new session-00000090"

id=25823 trace_id=23 func=vf_ip4_route_input line=1600 msg="find a route: flags=00000000 gw-192.168.1.200 via vpn"

id=25823 trace_id=23 func=fw_forward_handler line=687 msg="Allowed by Policy-2:"

id=25823 trace_id=23 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-vpn"

id=25823 trace_id=23 func=ipsec_output_finish line=232 msg="send to 1.1.1.1 via intf-wan1"

id=25823 trace_id=23 func=esp_output4 line=889 msg="encrypting, and send to 192.168.118.14 with source 1.1.1.2"