1.1   适用的产品和版本

表1-1     配置示例使用的产品和版本

设备类型

设备型号

版本

防火墙

RG-WALL 1600-Z系列新一代防火墙

RG-WALL   1600-Z-S系列云管防火墙

NGFW_NTOS   1.0R8或更高版本

防火墙

FortiGate   100F

FortiOS 7.2.4   Build 1396 (Feature)

 

1.2   业务需求

所示,站点A(锐捷Z3200-S防火墙)和站点BFortinet防火墙)两端都有固定的公网IP地址,两个站点所在的局域网之间分别通过站点A和站点B建立点到点的IPsec VPN隧道实现安全的互访。

认证方式使用预共享密钥方式,使用隧道模式封装,通信双方都可以主动发起连接。

图1-1     点到点组网图

                                              image.png

 

1.3   配置限制与说明

l  NGFW_NTOS 1.0R7及以后版本,设备支持通过IKEv1IKEv2的预共享密钥认证方式协商建立IPsec VPN隧道,安全协议支持ESPNGFW_NTOS 1.0R7版本前,设备只支持IKEv1的预共享密钥认证方式。

l  隧道两端设备支持通过IP地址或者域名通信,使用IP地址建立隧道时,必须是固定的公网IP地址;若IP地址不固定(如通过DHCPPPPoE等方式获取IP),可使用域名建立隧道,此时,需要先配置DDNS策略。

1.4   前置条件

已完成站点A和站点B的接口IP、默认路由等基本网络配置,配置时注意以下几点:

l  站点A和站点BIP地址或者域名必须是固定的。在本例中,以固定IP地址为例。

1.5   配置步骤

1.5.1  配置站点AZ3200-S防火墙)

1.    基本配置

(1)   登录Z3200-S防火墙,点击[网络]>>[IPsec VPN]>>[配置向导],进入配置向导的基本配置页面。

(2)   按如下参数配置,部署场景选择“点到点”。

image.png

 

(3)   配置完成,点击<下一步>进入认证配置。

2.    认证配置

(1)   按如下说明配置认证参数:

l  对端地址设置为Fortinet防火墙的外网口IP地址10.51.212.236

l  外出接口选择本设备出接口Ge0/0

l  认证方式选择预共享密钥,密钥设置为123123。隧道两端的预共享密钥必须一致,否则无法建立隧道。

image.png

 

(2)   配置完成,点击<下一步>进入感兴趣流配置。

3.    感兴趣流配置

(1)   点击<新增>按钮,按如下参数新增感兴趣流。

l  代理方式选择“子网到子网”

l  本端网络设置为Z3200-S防火墙下的子网192.168.1.0/24

l  对端网络设置为Fortinet防火墙下的子网192.168.2.0/24

image.png

 

(2)   配置完成,点击<下一步>进入配置确认页面。

4.    配置确认

(1)   确认基本配置、认证配置、感兴趣流配置是否正确。

image.png

 

(2)   点击高级配置,修改以下IKEIPSec参数,其他参数保持默认。

l  IKE参数:

         IKE类型选择IKEv1

         协商类型选择IKEv1主模式

         加密算法选择AES-128

         认证算法选择认证SHA

         DH组选择GROUP5

image.png

 

l  IPSec参数:

         加密算法选择AES-128

         认证算法选择SHA

         开启完美向前保密

         DH组选择GROUP5

image.png

(3)   修改并确认配置无误,点击<完成>

1.5.2  配置站点BFortinet防火墙)

1.    VPN建立

(1)   登录Fortinet防火墙,点击[VPN]>>[IPsec向导],进入配置向导页面。

(2)   按如下参数配置:

l  模板类型选择“站到站”。

l  NAT配置选择“站点间没有NAT”。

l  设备类型保持默认即可。

image.png

 

(3)   配置完成,点击<下一步>进入认证配置。

2.    认证配置

(1)   按照如下说明配置认证参数:

l  远程设备选择IP地址。

l  远程IP地址配置为Z3200-S防火墙的IP地址172.17.149.218

l  流出接口选择本设备外网口WAN1(mgmt)

l  认证方法选择预共享密钥,预共享密钥设置为123123。隧道两端的预共享密钥必须一致,否则无法建立隧道。

image.png

 

(2)   配置完成,点击<下一步>进入策略&路由配置。

3.    策略&路由配置

(1)   按照如下参数配置策略&路由参数:

l  本地接口选择本设备外网口WAN1(mgmt)

l  本地子网设置为Fortinet防火墙下的子网192.168.2.0/24

l  远端子网设置为Z3200-S防火墙下的子网192.168.1.0/24

image.png

 

(2)   配置完成,点击<下一步>进入回顾设置。

image.png

 

(3)   确认配置无误,点击<完成>

4.    设置VPN认证参数

(1)   点击[VPN]>>[IPsec隧道],进入IPsec隧道页面。

image.png

 

(2)   选中上一步创建的隧道,点击<编辑>,选择转换为自定义隧道

image.png

 

(3)   点击阶段1提案对应的编辑按钮,按照下图修改认证参数。

image.png

 

l  加密算法选择AES-128

l  认证算法选择认证SHA1

l  DH组选择GROUP5

l  其他参数保持默认配置

image.png

 

(4)   点击阶段2提案对应的编辑按钮,按照下图修改认证参数。

image.png

 

l  本地地址设置为Fortinet防火墙下的子网192.168.2.0/24

l  远端地址设置为Z3200-S防火墙下的子网192.168.1.0/24

l  加密算法选择AES-128

l  认证算法选择认证SHA1

l  DH组选择GROUP5

l  其他参数保持默认配置

image.png

 

(5)   修改完成后,点击<确认>

image.png

 

1.6   验证配置结果

1.6.1  查看站点AZ3200-S防火墙)结果

l  点击[网络]>>[IPsec VPN]>>[隧道监控],可查看到隧道状态为已建立。

image.png

 

l  点击[监控]>>[日志监控]>>[IPsec VPN日志],可查看到IPsec隧道协商日志。

image.png

 

1.6.2  查看站点BFortinet防火墙)结果

l  点击[VPN]>>[IPsec隧道],可查看到隧道状态为已连接。

image.png

 

l  选中IPsec隧道,点击<显示匹配日志>,可查看到IPsec隧道协商日志,可查看到IPsec隧道协商日志。

image.png

image.png