组网及说明
1 配置需求或说明
1.1 适用的产品系列
本案例适用于软件平台为ACG1000系列应用控制网关:ACG10X0、ACG1000-AKXXX等。
注:本案例是在ACG1040的Version 1.10, Release 6609P06版本上进行配置和验证的。
1.2 配置需求及实现的效果
因公司业务拓展需要将处于两地的公司网络通过IPSEC VPN连通,使总部和分部网络可以相互访问。IP地址及接口规划如下表所示:
|
公司名称 |
外网接口 |
公网地址/掩码 |
公网网关 |
内网接口 |
内网地址/掩码 |
|
总部(F1060) |
1/0/3 |
101.88.26.34/30 |
101.88.26.33 |
1/0/4 |
192.168.10.0/24 |
|
分部(ACG1040) |
ge1 |
198.76.26.90/30 |
198.76.26.89 |
ge3 |
192.168.20.0/24 |
2 组网图
配置步骤
3 配置步骤
3.1 两端配置上网配置
本文档重点给出两台设备IPSEC VPN配置步骤,上网配置略。
3.2 总部侧防火墙IPSEC VPN策略配置
#在“网络”>“VPN”>“策略”中点击新建。
#在“基本配置”中“接口”选择接入外网的1/0/3接口,“优先级”设置为1(优先级代表了策略匹配顺序,当存在多条VPN隧道时需要对各VPN隧道优先级进行设置),“认证方式”选择域共享密钥,建立VPN两端隧道的域共享密钥必须一致。对端ID设置对IP地址即分公司公网地址,本端ID默认为本端公网接口IP地址。在保护的数据流中添加源为总部内网网段192.168.10.0/24,目的IP地址为分部内网网段192.168.20.0/24。
默认防火墙的IPSEC提议为ESP/SHA1/AES-128,IKE安全提议为:
3.3 总部侧配置安全策略,放通IPSEC感兴趣流的数据策略
#在“策略”>“安全策略”>点击“新建”,“源IP地址”中点击“添加IPV4地址对象组”
#配置对象组名称为“192.168.20.0”,点击“添加”,对象地址为192.168.20.0网段,为分支内网段地址
#在“策略”>“安全策略”>点击“新建”,“目的IP地址”中点击“添加IPV4地址对象组”
#配置对象组名称为“192.168.10.0”,点击“添加”,对象地址为192.168.10.0网段,为总部内网网段地址
#最后确认一下“源IP地址”为对端内网所在对象组,“目的IP地址”为本端内网地址所在对象组,确定即可
3.4 总部侧配置安全策略,放通Untrust到Local,和Local到Utrust的策略,用于建立IPSEC 隧道
3.5 分部侧IPSEC VPN策略配置
#在 “VPN”>“IPsec第三方对接”中新建IKE对等体。