• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ACG1000系列与V7平台防火墙对接IPSEC VPN配置举例(适用于两端固定地址组网)

  • 0关注
  • 0收藏 813浏览
粉丝:10人 关注:0人

组网及说明

1 配置需求或说明

1.1  适用的产品系列

本案例适用于软件平台为ACG1000系列应用控制网关:ACG10X0ACG1000-AKXXX等。

注:本案例是在ACG1040Version 1.10, Release 6609P06版本上进行配置和验证的。


1.2  配置需求及实现的效果

因公司业务拓展需要将处于两地的公司网络通过IPSEC VPN连通,使总部和分部网络可以相互访问。IP地址及接口规划如下表所示:

公司名称

外网接口

公网地址/掩码

公网网关

内网接口

内网地址/掩码

总部(F1060

1/0/3

101.88.26.34/30

101.88.26.33

1/0/4

192.168.10.0/24

分部(ACG1040

 ge1

198.76.26.90/30

198.76.26.89

ge3

192.168.20.0/24


2 组网图


配置步骤

3 配置步骤

3.1  两端配置上网配置

本文档重点给出两台设备IPSEC VPN配置步骤,上网配置略。


3.2  总部侧防火墙IPSEC VPN策略配置

#在“网络”>VPN>“策略”中点击新建。

#在“基本配置”中“接口”选择接入外网的1/0/3接口,“优先级”设置为1(优先级代表了策略匹配顺序,当存在多条VPN隧道时需要对各VPN隧道优先级进行设置),“认证方式”选择域共享密钥,建立VPN两端隧道的域共享密钥必须一致。对端ID设置对IP地址即分公司公网地址,本端ID默认为本端公网接口IP地址。在保护的数据流中添加源为总部内网网段192.168.10.0/24,目的IP地址为分部内网网段192.168.20.0/24

默认防火墙的IPSEC提议为ESP/SHA1/AES-128IKE安全提议为:


3.3  总部侧配置安全策略,放通IPSEC感兴趣流的数据策略

 #在“策略”>“安全策略”>点击“新建”,“源IP地址”中点击“添加IPV4地址对象组”

#配置对象组名称为“192.168.20.0”,点击“添加”,对象地址为192.168.20.0网段,为分支内网段地址

#在“策略”>“安全策略”>点击“新建”,“目的IP地址”中点击“添加IPV4地址对象组”

#配置对象组名称为“192.168.10.0”,点击“添加”,对象地址为192.168.10.0网段,为总部内网网段地址

 #最后确认一下“源IP地址”为对端内网所在对象组,“目的IP地址”为本端内网地址所在对象组,确定即可


3.4  总部侧配置安全策略,放通UntrustLocal,和LocalUtrust的策略,用于建立IPSEC 隧道

   

   


3.5  分部侧IPSEC VPN策略配置

# VPN>IPsec第三方对接”中新建IKE对等体。