• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ACG1000系列与V7平台防火墙对接IPSEC VPN配置举例(适用于ACG侧非固定地址组网)

2019-08-16 发表
  • 0关注 ,352浏览
粉丝:10人 关注:0人

组网及说明

1 配置需求或说明

1.1  适用的产品系列

本案例适用于软件平台为ACG1000系列应用控制网关:ACG10X0ACG1000-AKXXX等。

注:本案例是在ACG1040Version 1.10, Release 6609P06版本上进行配置和验证的。


1.2  配置需求及实现的效果

因公司业务拓展需要将处于两地的公司网络通过IPSEC VPN连通,使总部和分部网络可以相互访问。IP地址及接口规划如下表所示:

公司名称

外网接口

公网地址/掩码

公网网关

内网接口

内网地址/掩码

总部(防火墙)

1/0/3

101.88.26.34/30

101.88.26.33

1/0/4

192.168.10.0/24

分部(ACG1040

 ge1

PPPOE拨号

ge3

192.168.20.0/24


2 组网图


配置步骤

3 配置步骤

3.1  两端配置上网配置

本文档重点给出两台设备IPSEC VPN配置步骤,上网配置略。


3.2  总部侧防火墙IPSEC VPN策略配置

#在“网络”>VPN>“策略”中点击新建。

#策略名称设置为“center”、优先级设置为1,设备角色配置为中心节点,接口选择外网接口,协商模式设置为野蛮模式并指定预共享密钥,本端IDFQDN并指定为center

默认防火墙的IPSEC提议为ESP/SHA1/AES-128IKE安全提议为:


3.3  总部侧配置安全策略,放通IPSEC感兴趣流的数据策略

 #在“策略”>“安全策略”>点击“新建”,“源IP地址”中点击“添加IPV4地址对象组”

#配置对象组名称为“192.168.20.0”,点击“添加”,对象地址为192.168.20.0网段,为分支内网段地址

#在“策略”>“安全策略”>点击“新建”,“目的IP地址”中点击“添加IPV4地址对象组”

#配置对象组名称为“192.168.10.0”,点击“添加”,对象地址为192.168.10.0网段,为总部内网网段地址

 #最后确认一下“源IP地址”为对端内网所在对象组,“目的IP地址”为本端内网地址所在对象组,确定即可


3.4  总部侧配置安全策略,放通UntrustLocal,和LocalUtrust的策略,用于建立IPSEC 隧道

   

  


3.5  分部侧IPSEC VPN策略配置

# VPN>IPsec第三方对接”中新建IKE对等体。

#基本设置中网关名称设置为“branch”,对端网关地址为101.88.26.34,模式设置为野蛮模式,预共享秘钥与防火墙设置一致,IKE协商交互方案加密算法为DES,认证算法为SHA