发布时间 : 星期四 文章联想网御Power V系列配置案例集16(IPSEC VPN 网关-网关证书认证配置案例)更新完毕开始阅读
16.1 网络需求
某企业用户,两个分部需要互相访问对方内部网络的服务器,通过网关到网关的ipsec隧道,使得用户192.168.83.0/24和192.168.82.0/24可以互相访问资源。同时,防火墙IPsec要求用证书认证。
16.2 网络拓扑
防火墙1:内网地址192.168.83.207 ,外网地址211.211.211.211 内部保护子网A为192.168.83.0/24
防火墙2:内部地址192.168.82.207 ,外网地址210.210.210.210 内部包含子网B为192.168.82.0/24
16.3 配置流程
证书认证的过程:1,2两台防火墙通过同一个证书中心颁发的证书来识别对方。方法是在本防火墙上,保存共同的CA中心证书和对方的证书以及自己的证书。 (1)先从ca中心获取CA中心证书。
防火墙1,本地生成请求文件并导出,发给CA中心生成这台防火墙的证书1,防火墙2同时操作得到证书2。
防火墙1导入CA中心证书,本地证书1,对端防火墙证书2。防火墙2同时操作,导入CA中心证书,本地证书2,对端防火墙证书1。
(2)配置防火墙1 IPSEC----VPN规则,确定本地保护子网和对端保护子网地址。 (3)配置防火墙1的IKE配置,确定对端网关地址,认证方式,隧道模式,以及算法。
(4)配置防火墙1的网关隧道配置,确定本地出口。 (5)隧道监控—启动隧道
16.4 配置步骤
(1)获取CA认证证书
先从ca中心获取CA中心证书。这里用户需要使用自己的ca中心,防火墙不提供。本文从第三方ca处获取ca中心证书ca.cer
防火墙1,本地生成请求文件并导出文件名xx.rep,发给CA中心生成这台防火墙的证书1,防火墙2同时操作得到证书2。(下图为生成证书请求过程)
防火墙1导入CA中心证书,本地证书1,对端防火墙证书2。防火墙2同时操作,导入CA中心证书,本地证书2,对端防火墙证书1。 进入【VPN】-【证书中心】-【本地证书】
上面三个方块处分别导入ca,本地,对端三个证书。如果要和另外10个防火墙 建立隧道,需要在对方证书处导入另外10台防火墙的证书。
(2)配置防火墙1 IPSEC---VPN规则
进入【VPN】-【IPSec】-【VPN规则】-添加,设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。
设置本地保护子网为192.168.83.0/24,对端保护子网为192.168.82.0/24。防火墙2的本地和对端与防火墙1相反。 (3)配置防火墙1的IKE配置
进入【VPN】-【IPSec】-【IKE配置】-新建
这里的证书就是刚才导入的证书,跟谁建立隧道,对方证书就选择谁。其他必须与防火墙2设置相同。如果选择野蛮模式,务必设置ID。 (4)配置防火墙1的网关隧道配置
进入【VPN】-【IPSec】-【网关隧道配置】-添加
这里选择外网口为VPN接口,完美向前保密必须和防火墙2设置相同。缺省策略尽量选择允许,如果选择包过滤需要单独到防火墙策略页面加规则。 (5)隧道监控—启动隧道
配置防火墙2,步骤如上。注意点:防火墙2 的对端网关
为防火墙1的地址,本地保护子网与防火墙1相反,证书认证信息的本地和对方与防火墙1相反。其他认证信息等与防火墙1相同。