返回
网康进阶之NGFW-IPSEC VPN配置

网康进阶之NGFW-IPSEC VPN配置

ID:37669679

大小:435.73 KB

页数:7页

时间:2019-05-28

网康进阶之NGFW-IPSEC VPN配置_第1页
网康进阶之NGFW-IPSEC VPN配置_第2页
网康进阶之NGFW-IPSEC VPN配置_第3页
网康进阶之NGFW-IPSEC VPN配置_第4页
网康进阶之NGFW-IPSEC VPN配置_第5页
资源描述:

《网康进阶之NGFW-IPSEC VPN配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、【网康进阶之NGFW】-IPSECVPN配置标题:IPSECVPN配置(共享秘钥-静态)1.用户场景企业通过两台NGFW设备构建VPN通道,保证总部和分支机构的安全通信。两台NGFW均做出口网关。中心设备的保护子网10.10.10.0/24,10.10.11.0/24分支设备的保护子网20.1.1.0/24请参考网络拓扑,提前配置好接口和路由;2.配置步骤配置中心节点隧道配置分支节点隧道配置访问控制策略配置地址转换策略2.1.配置中心节点隧道选择【网络配置】-【IPSEVPN】-【隧道配置

2、】,点击【新建】;~1~如有疑问,请联系网康科技24小时服务热线:400-678-3600【网康进阶之NGFW】-IPSECVPN配置基本配置:认证方式选择“共享密钥”,界面如上图,参考界面做以下配置。1、密钥:netentsec(两端相同,任意设置,建议配置较复杂的密钥)2、本地标识:FQDN格式,zongbu(为分支节点的远端标识)。标识支持以下几种格式:(1)FQDN:域名格式:通常使用该格式即可,尤其在穿NAT场景,推荐使用FQDN(2)IP格式:有的厂家的设备只支持IP格式的标识,这时可

3、使用该格式(3)任意标识:如果其他厂商没有配置标识,可尝试使用该格式或空白(4)空白:不添加标识3、远端标识:zhenzhi(为分支节点的本地标识)4、本地网口:选择eth0(参照拓扑图,为WAN口)5、远端地址:选择IP地址,填写对端设备IP:192.168.120.106(参照拓扑图,为对端WAN口IP)。远端地址支持三种格式:IP、域名、任意,其中IP格式是最常用的格式,但以下情况需要采用其他格式:(1)本端设备做中心,对端地址为动态。此时中心有两种配置方法。一种是对端配置为“任意”;另一种

4、是对端配置为域名,此时需要将对端动态接口和动态域名绑定,如果对端是NGFW,请参考“场景四”中动态域名的配置方法。(2)本端设备做中心,多个分支接入该隧道。此时由于多个对端,中心应将远端写“任意”(3)本端设备做中心,对端设备穿SNAT的场景。该场景建议中心将对端地址配置为任意。6、子网配置:10.10.10.1/24-20.1.1.1/24和10.10.11.1/24-20.1.1.1/24格式为“本地子网”-“远端子网”,此处请严格按照界面提示的格式书写(注意建立VPN的两端,子网不能有重叠)

5、。~2~如有疑问,请联系网康科技24小时服务热线:400-678-3600【网康进阶之NGFW】-IPSECVPN配置高级配置:高级配置比较繁琐和不易理解,如果该页面不做任何的改动,则采用默认配置(1)IKE加密/认证算法:默认为aes128/md5。加密算法:3des、aes128、aes256。一般来说,aes128比3des要快,安全性相仿。aes256是一个超强的加密算法,可以在最高级别保证数据的安全性,但是相对较慢。认证算法:md5、sha1。相比之下sha1更安全,但较慢。(3)IKE

6、密钥生命期:默认为1小时,即每经过1小时会重新生成第一阶段的密钥。最大值可选24小时。一般来讲,密钥更新越频繁则安全性越高,但对系统的消耗也越多。(4)ESP加密/认证算法:默认为aes128/md5。(5)IPSecSA生命期:默认为1小时,即每经过3600秒会重新生成第二阶段的密钥。最大值可选24小时。(6)开启DPD功能:探询间隔30S,超时时间120S。即每隔30S探测对端ipsecVPN隧道第一阶段是否存在,120S对端没有回复则认为对端隧道不存在,自动断开本端隧道。这个配置目前主要用于

7、隧道状态的同步,网络质量不好时建议该数值不要配的太小。或自行选择具体算法,算法可以选择一个或多个,此处使用默认配置,注意通信两端选择相同的算法。生命期填写时注意以下原则,时间越长对系统的资源占用越少,但由于对密钥的更新频率降低,密钥被破解的可能性增大,安全性也随之降低。点击确定后,隧道配置完成,在隧道列表里显示隧道配置信息;~3~如有疑问,请联系网康科技24小时服务热线:400-678-3600【网康进阶之NGFW】-IPSECVPN配置2.2.配置分支节点隧道选择【网络配置】-【IPSEVPN】

8、-【隧道配置】,点击【新建】;基本配置:认证方式选择“共享密钥”,界面如上图,参考界面做以下配置。1、密钥:netentsec(两端相同,任意设置,建议配置较复杂的密钥)2、本地标识:FQDN格式,fenzhi(为总部节点的远端标识)。标识支持以下几种格式:(1)FQDN:域名格式:通常使用该格式即可,尤其在穿NAT场景,推荐使用FQDN(2)IP格式:有的厂家的设备只支持IP格式的标识,这时可使用该格式~4~如有疑问,请联系网康科技24小时服务热线:400-678-3600【网康

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。