一、组网需求

如图所示，通过VPN将2个局域网连接起来，实现192.1681.0/24与1.1.1.0/24两个网段的通信， NGFW2 采用单臂模式部署。

二、网络拓扑

三、配置要点

1、配置NGFW1

1）基本上网配置

2）IKE阶段1

3）IKE阶段2

4）配置路由

5）配置策略

2、配置NGFW2

1）基本上网配置

2）IKE阶段1

3）IKE阶段2

4）配置路由

5）配置策略

说明：如果要删除IPSEC VPN第一阶段、第二阶段配置，需要先删除被调用的路由或防火墙安全策略。

四、配置步骤

1、配置NGFW1

1)基本上网配置

配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节：

接口IP配置如下：

路由配置如下

2)IKE阶段1

进入：网络配置--IPSec向导，点击“自定义VPN”，配置阶段一的相关参数，如下图：

名称： VPN，用于标识作用，接口模式下，将用于VPN虚拟接口的名字

远程网关：静态IP

IP地址：对端防火墙的外网接口的IP地址1.1.1.2

　　　本地接口: 防火墙与对端设备建立VPN所使用的接口，通常为外网接口wan1

认证方式：预共享密钥

预共享密钥：密钥，两端设备相同即可。

启动IPsec接口模式：勾选，

其他参数适用默认参数，参数细节请参考“VPN部署场景”-“IPSec VPN”-“阶段参数说明”-"阶段1参数"一节

3)IKE阶段2

配置阶段2基本参数

点击高级选项，弹出高级参数选项。

勾选弹出选项中的“保持存活” 其他默认。

4）配置vpn路由

菜单：网络配置--静态路由，点击“新建”

按如下方式，添加对端保护网段的vpn静态路由, 但需要配置1.1.1.2防火墙IP路由出口为wan1.

5)配置策略

菜单：策略配置--IPv4策略，点击 “新建”

按如下方式创建两条策略，通过该策略对两端2个子网之间的访问进行控制，NAT，UTM防护等，

第1条策略：允许本地的192.168.1.0网段，访问对端的1.1.1.0网段

第2条策略：允许对端的1.1.1.0网段，访问本端的192.168.1.0网段

2、配置NGFW2

1)基本上网配置

配置详细过程请参照 “路由模式典型功能--单线上网--静态地址线路上网配置“一节：

接口IP配置如下：

路由配置如下：

2)IKE阶段1

进入：网络配置--IPSec向导，点击“自定义VPN”，配置阶段1的相关参数

名称： VPN，用于标识作用，接口模式下，将用于VPN虚拟接口的名字

远程网关：静态IP地址

IP地址：对端防火墙的外网接口的IP地址192.168.118.14

　　　本地接口: 防火墙与对端设备建立VPN所使用的接口，选择wan1.

认证方式：预共享密钥

预共享密钥：密钥，两端设备相同即可。

启动IPsec接口模式：勾选，

其他参数适用默认参数，参数细节请参考"阶段1参数"一节

3)IKE阶段2

配置阶段2的基本参数

点击高级选项，弹出高级参数选项。

勾选弹出选项中的“保持存活” 其他默认。

4)配置vpn路由

菜单：网络配置--静态路由，点击“新建”

按如下方式，添加对端保护网段的vpn路由

目的IP/子网掩码：对方防火墙所保护的子网，192.168.1.0/24

接口: 配置VPN所生成的接口，选择vpn。

5）配置策略

菜单：策略配置--IPv4策略，点击 “新建”

按如下方式创建两条策略，通过该策略对两端2个子网之间的访问进行控制，NAT，UTM防护等，

第1条策略：允许本地的1.1.1.0网段，访问对端的192.168.1.0网段

第2条策略：允许对端的192.168.1.0网段，访问本端的1.1.1.0网段

5）其他注意事项

一般情况下1.1.1.3 的网关会配置为1.1.1.1，需要在路由器1.1.1.1 上配置路由表，去往192.168.1.0 的网段发送到防火墙1.1.1.2。

example： ip route 192.168.1.0 255.255.255.0 1.1.1.2

五、检查配置结果

1 查看vpn状态

查看VPN监视器，观察状态：进入“设备状态”----"IPsec监控” ，两个网络采用 ping测试方式，192.168.1.0/24和1.1.1.0/24两个内网可以相互访问。

2 debug flow命令查看数据流

从 192.168.1.111 ping 1.1.1.3

NGFW1

命令：dia deb flow

id=13 trace_id=6 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 192.168.1.111:1->1.1.1.3:8) from internal. code=8, type=0, id=1, seq=41."

id=13 trace_id=6 func=resolve_ip_tuple_fast line=4375 msg="Find an existing session, id-0000071f, original direction"

id=13 trace_id=6 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-vpn"

id=13 trace_id=6 func=ipsec_output_finish line=232 msg="send to 192.168.118.1 via intf-wan1"

id=13 trace_id=6 func=esp_output4 line=889 msg="encrypting, and send to 1.1.1.2 with source 192.168.118.14"

NGFW2

id=25823 trace_id=5 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 192.168.1.111:1->1.1.1.3:8) from vpn. code=8, type=0, id=1, seq=44."id=25823 trace_id=5 func=init_ip_session_common line=4472 msg="allocate a new session-00000087"

id=25823 trace_id=5 func=vf_ip4_route_input line=1600 msg="find a route: flags=00000000 gw-1.1.1.3 via wan1"

id=25823 trace_id=5 func=fw_forward_handler line=687 msg="Allowed by Policy-3:"

id=25823 trace_id=6 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 1.1.1.3:1->192.168.1.111:0) from wan1. code=0, type=0, id=1, seq=44."

id=25823 trace_id=6 func=resolve_ip_tuple_fast line=4375 msg="Find an existing session, id-00000087, reply direction"

id=25823 trace_id=6 func=vf_ip4_route_input line=1600 msg="find a route: flags=00000000 gw-192.168.1.111 via vpn"

id=25823 trace_id=6 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-vpn"

id=25823 trace_id=6 func=ipsec_output_finish line=232 msg="send to 1.1.1.1 via intf-wan1"

id=25823 trace_id=6 func=esp_output4 line=889 msg="encrypting, and send to 192.168.118.14 with source 1.1.1.2"

从 1.1.1.3 ping 192.168.1.200

NGFW2：

id=25823 trace_id=23 func=print_pkt_detail line=4316 msg="vd-root received a packet(proto=1, 1.1.1.3:1024->192.168.1.200:8) from wan1. code=8, type=0, id=1024, seq=0."

id=25823 trace_id=23 func=init_ip_session_common line=4472 msg="allocate a new session-00000090"

id=25823 trace_id=23 func=vf_ip4_route_input line=1600 msg="find a route: flags=00000000 gw-192.168.1.200 via vpn"

id=25823 trace_id=23 func=fw_forward_handler line=687 msg="Allowed by Policy-2:"

id=25823 trace_id=23 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-vpn"

id=25823 trace_id=23 func=ipsec_output_finish line=232 msg="send to 1.1.1.1 via intf-wan1"

id=25823 trace_id=23 func=esp_output4 line=889 msg="encrypting, and send to 192.168.118.14 with source 1.1.1.2"