1、锐捷网络防火墙典型功能使用手册1锐捷网络防火墙详细实例目 录第一章 VPN 功能使用 .51.1 概述 51.2 IPSEC VPN 技术原理简介 .51.3 IPSEC VPN 对数据包的处理 .61.4 IPSEC NAT 穿透: .81.5 密钥管理(IKE 密钥协商) 81.6 DIFFIE-HELLMAN 交换: .101.7 基于策略和基于路由的 VPN 111.8 基于路由的双 VPN 隧道备份(ACTIVEACTIVE) .121.9 网关网关 VPN 隧道的建立 .151.9.1 典型案例: 161.10 远程访问 VPN 隧道的建立 .181.10.1 典型案例: 191.
2、11 RG-WALL VPN CA 中心软件的使用 201.11.1 RG-WALL1600 安全网关 VPN 证书配置 .201.11.2 RG-WALL VPN CA 中心软件 201.12 PPTP/L2TP 远程访问 VPN 配置方法 201.13 动态域名241.13.1 使用动态域名的动态 RG-WALL1600 防火墙 .241.13.2 如何注册 3322.org 的动态域名 251.14 常见问题251.14.1 VPN 不响应远程的密钥协商请求: 251.14.2 VPN 的代理 ID 配置: 25第二章 高可用性 262.1. VRRP 简介 262.1.1 VRRP 意
3、义 262.1.2 VRRP 简介 272.1.3 VRRP 工作原理 272.2 RG-WALL1600 防火墙路由 HA .282.2.1 Active-Active 负载均衡 282.2.1.1 WebUI 配置 .292.2.1.2 CLI 配置 .372.2.2 Active-Standby 冗余备份 402.2.2.1 WebUI 配置 .412.2.2.2 CLI 配置 .49锐捷网络防火墙典型功能使用手册22.2.3 路由 HA 模式下支持 VRRP 虚地址 IP 和地址属性同步 .512.2.3.1 概述 512.2.3.2 使用方法 .512.3 PVST+简介 .522.
4、4 RG-WALL1600 安全网关多 VLAN 交换环境冗余备份 .532.4.1 拓扑结构 .532.4.2 安全网关配置 .552.4.2.1 WebUI 配置 .552.4.2.2 CLI 配置 .60第三章 用户认证 623.1 概述 623.2 服务器 623.2.1 功能 623.2.2 内置参数 643.2.3WEB 页面 .643.3 用户组 653.3.1 功能 .653.3.2 WEB 页面 .663.4 用户列表683.4.1 功能 .683.4.2 WEB 页面 .683.5 在线用户693.6 客户端693.6.1 简介 .693.6.1.1 帐号口令方式 .693
5、.6.1.2 电子钥匙方式 .693.6.2 安装 .703.6.3 功能 .703.6.3.1 主界面 .703.6.3.2 配置系统 .703.6.3.3 账户口令方式认证 .713.6.3.4 修改口令 .723.6.3.5 电子钥匙驱动程序的安装 .733.6.3.6 配置电子钥匙 .733.6.3.7 修改电子钥匙 PIN 口令 743.6.3.8 电子钥匙认证 .753.6.3.9 修改口令 .763.6.3.10 认证失败信息 .763.7 实例及网络拓扑773.7.1 本地认证 .773.7.1.1 设置服务器 .78锐捷网络防火墙典型功能使用手册33.7.1.2 设置系统的安
6、全规则 .793.7.1.3 设置时间和地址定义 .793.7.1.4 添加用户组 .803.7.1.5 添加用户 .813.7.2 RADIUS 服务器认证 .83第四章 动态路由 844.1 动态路由 OSPF/RIP 功能 .844.1.1 License 控制 844.1.2 功能概述 .854.1.3 配置方法 .894.1.3 典型应用拓扑 .90第五章 典型应用案例 935.1 纯路由-私有子网 935.1.1 特点 .935.1.2 拓扑 .935.1.3 实施要点 .945.1.4 配置 .945.2 纯路由-公网 945.2.1 特点 .945.2.2 拓扑 .955.2.
7、3 实施要点 .955.2.4 配置 .955.3 纯透明-内部网 965.3.1 特点 .965.3.2 拓扑 .965.3.3 实施要点 .965.3.4 配置 .975.4 纯透明975.4.1 特点 .975.4.2 拓扑 .985.4.3 实施要点 .985.4.4 配置 .985.5 混合995.5.1 特点 .995.5.2 拓扑 .995.5.3 实施要点 .995.5.4 配置 .1005.6 多内网1005.6.1 特点 .100锐捷网络防火墙典型功能使用手册45.6.2 拓扑 .1015.6.3 实施要点 .1015.6.4 配置 .1015.7 多 VLAN 内网 10
8、25.7.1 特点 .1025.7.2 拓扑 .1035.7.3 实施要点 .1035.7.4 配置 .1035.8 VLAN 旁路 .1045.8.1 特点 .1045.8.2 拓扑 .1045.8.3 实施要点 .1045.8.4 配置 .1055.9 多外网口1055.9.1 特点 .1055.9.2 拓扑 .1065.9.3 实施要点 .1065.9.4 配置 .1065.10 DHCP-客户端 .1075.10.1 特点 .1075.10.2 拓扑 .1075.10.3 实施要点 .1075.10.4 配置 .1085.11 DHCP-服务器 .1085.11.1 特点 .1085.
9、11.2 拓扑 .1085.11.3 实施要点 .1095.11.4 配置 .1095.12 DHCP-中继 .1095.12.1 特点 .1095.12.2 拓扑 .1105.12.3 实施要点 .1105.12.4 配置 .1105.13 普通 ADSL 线路混合模式 .1115.13.1 拓扑图 1115.13.2 应用环境及要求 1115.13.3 周边网络设备配置要点 .1125.14 专线内网提供 WEB 服务 .1135.14.1 拓扑图 1135.14.2 应用环境及要求 1135.14.3 周边网络设备配置要点 1145.15 多 ADSL 线路负载均衡 .1155.15.1
10、 拓扑图 115锐捷网络防火墙典型功能使用手册55.15.2 应用环境及要求 1155.15.3 周边网络设备配置要点 116锐捷网络防火墙典型功能使用手册6第一章 VPN 功能使用1.1 概述虚拟专用网(VPN)使得用户可以在开放的 Internet 上基于 IPSec 或 PPTP/L2TP 协议族的一系列加密认证以及密钥交换技术,构建一个安全的私有专网,具有同本地私有网络一样的安全性、可靠性和可管理性等特点,这样可以大大降低了企业/政府/ 科研机构等建设专门私有网络的费用。VPN 连接可以连接两个局域网 (LAN) 或一个远程拨号用户和一个 LAN。在这 VPN连接的两个 VPN 端点间
11、流动的信息流以加密的密文形式经过共享的 Internet 设备,例如,路由器、交换机以及其它组成公用 WAN 的网络设备。要在公网传输过程中确保 VPN 通信的安全性,IPSec VPN 的两个端点间必须创建一个 IPSec 隧道。IPSec 隧道由一对指定安全参数索引 (SPI) 的单向“ 安全联盟”(SA) ( 位于隧道的两端) 、目标 IP 地址以及使用的安全协议 ( “认证包头 ”或“封装安全性负荷” ) 组成。通过这些参数可以对数据进行加密与完整性处理,保证通信数据的私密性和完整性。1.2 IPSec VPN 技术原理简介根据因特网工程标准工作组(IETF)的定义,IPSec 的协议
12、框架结构如下图所示。IPSec体系ESP协议 AH协议加密算法 认证算法DOI解释域密钥管理( ISAKMP/IKE)锐捷网络防火墙典型功能使用手册7IPSec 最终为网络数据提供 ESP 与 AH 安全保护。ESP 协议为数据提供了加密与完整性保护,AH 协议只对数据提供完整性保护。一般来说 IPSec VPN 使用 ESP 协议,AH 协议只在某些禁止使用加密的情况下使用。加密算法、验证算法、密钥管理都是为了ESP/AH 服务的。封装安全载荷( Encapsulating Security Protocol, E S P)是插入 I P 数据报内的一个协议头,以便为 I P 提供机密性、数
13、据源验证、抗重播以及数据完整性等安全服务。隧道模式下,它加密封装整个 I P 数据报。验证头( Authentication Header,A H)是一种 I P S e c 协议,用于为 I P提供数据完整性、数据原始身份验证和一些可选的、有限的抗重播服务。它定义在 R F C 2 4 0 2 中。除了机密性之外, A H 提供 E S P 能够提供的一切东西。但要注意的是, A H 不对受保护的 I P 数据报的任何部分进行加密。加密算法:并非只有单独的一种!有多种技术都可用来加密信息、安全地交换密钥、维持信息完整以及确保一条消息的真实性。将所有这些技术组合在一起,才能在日益开放的世界中,
14、提供保守一项秘密所需的各项服务。验证算法:为保守一个秘密,它的机密性是首先必须保证的。但假如不进行身份验证,也没有办法知道要同你分享秘密的人是不是他她所声称的那个人。同时假如不能验证接收到的一条消息的完整性,也无法知道它是否确为实际发出的那条消息。Internet 密钥交换( Internet Key Exchange,I K E):定义了安全参数如何协商,以及共享密钥如何建立。但它没有定义的是协商内容。这方面的定义是由“解释域( D O I) ”文档来进行的。安全联盟(Security Association,S A):用 IPSec 保护一个 I P 包之前,必须先建立一个安全联盟(S A
15、) 。IKE 用于动态建立 S A。IKE 代表 IPSec对 S A 进行协商,并对 SADB 数据库进行填充。1.3 IPSec VPN 对数据包的处理IPSec VPN 主要有两种形式,分支机构互联 VPN 和移动用户远程访问 VPN。下面就这两种形式的 VPN 介绍 IPSec 是如何实现网络互联与安全保护的。如下图,某企业有北京和上海两个分支。北京分公司的内部网络地址是192.168.1.0/24,上海分公司的内部网络地址是 192.168.2.0/24。北京安全网关的 IP 地址是 202.123.1.1,上海安全网关的 IP 地址是 202.123.1.2。建立 VPN 后数据包
16、的处理过程锐捷网络防火墙典型功能使用手册8是如下这样:1. 北京访问上海数据包:192.168.1.254 - 192.168.2.254 数据包是原始访问数据。2. 北京安全网关加密处理:202.123.1.1 - 202.123.1.2 数据包内是加密后的数据。3. 经过 Internet 到达上海安全网关。4. 上海安全网关解密:解密后得到原始数据包,192.168.1.254 - 192.168.2.254。5. 上海安全网关转发到内部网络,上海服务器 192.168.2.254 收到访问数据。6. 上海服务器返回数据:192.168.2.254 - 192.168.1.254 经过相
17、同的处理过程,数据包可以安全地返回给北京的访问主机。如下图,某企业上海出差员工要访问北京总部。北京总部的内部网络地址是192.168.1.0/24,北京安全网关的地址是 202.123.1.1。出差员工拨号获得的地址是202.123.1.2,VPN 内部分配的地址是 192.168.2.254。建立 VPN 后数据的处理过程就是如下这样的:1. 出差用户访问北京总部:192.168.2.254 - 192.168.1.254 数据包原始锐捷网络防火墙典型功能使用手册9数据。2. 出差用户主机 VPN 客户端对数据加密处理:202.123.1.2 - 202.123.1.1数据包内是加密后的数据
18、。3. 经过 Internet 到达北京安全网关。4. 北京安全网关解密:解密后得到原始数据包,192.168.2.254 - 192.168.1.254。5. 北京安全网关转发到内部网络,北京服务器 192.168.1.254 收到访问数据。6. 北京服务器返回数据:192.168.1.254 - 192.168.2.254 经过相同的处理过程,数据包可以安全地返回给出差用户的访问主机。1.4 IPSEC NAT 穿透:“网络地址转换”(NAT) 和“网络地址端口转换”(NAPT) 为互联网标准,它允许局域网 (LAN) 将一组 IP 地址用于内部信息流,将第二组地址用于外部信息流。NAT
19、设备从预定义的 IP 地址池中生成这些外部地址。在设置 IPSec 隧道时,沿着数据路径出现 NAT 设备不影响 “阶段 1”和“阶段 2”的 IKE 协商,它通常将 IKE 封包封装在 “用户数据报协议”(UDP) 封包中。但是,在完成“ 阶段 2”协商后,执行 IPSec 封包上的 NAT 会导致隧道失败。在 NAT 对 IPSec 造成中断的众多原因中,其中一个原因就是,对于“封装安全性协议 ”(ESP) 来说,NAT 设备不能识别端口转换的“第 4 层”包头的位置 ( 因为它已被加密)。对于“ 认证包头” (AH) 协议, NAT 设备可以修改端口号,但不可以修改认证检查,于是对整个
20、IPSec 封包的认证检查就会失败。RG-WALL1600 使用 NAT 穿越功能可以解决此问题。NAT 穿越协议通过对 ESP 和 AH 协议进行 UDP 封装,在加密封装后的数据包中增加UDP 头,这样 NAT 设备就可以对加密数据包进行正确的 NAT 端口转换。1.5 密钥管理(IKE 密钥协商)密钥的分配和管理对于成功使用 VPN 很关键。只有参与通信的 VPN 双方得到共同密钥才能使 VPN 正确加密通信。保证参与通信的 VPN 双方能够安全地协商出共同的密钥是整个 VPN 通信的关键。所以密钥协商是 VPN 安全使用的关键,他不仅要解决密钥协商,还需要解决 VPN 双方的身份认证、
21、算法协商、保护模式协商。锐捷网络防火墙典型功能使用手册10IPSec 使用“互联网密钥交换” (IKE)协议支持密钥的自动生成和协商以及安全联盟协商。身份验证方式支持预共享密钥和证书两种。预共享密钥认证方式:通过使用预共享密钥的“自动密钥 IKE”来认证 IKE 会话中的参与者时,各方都必须预先配置和安全地交换预共享密钥。一旦预共享密钥被正确分配后,就可使用 IKE 协议了。证书验证方式:经过 CA 签发的证书中含有 CA 私钥签名和身份信息,可以使用 CA 的公开密钥(可以公开给任何人得到)去验证证书的有效性。同时交换中需要传递自身私钥的签名,通过证书中的公钥验证。经过这些过程就可以确认证书
22、的有效性和证书持有人的唯一性。各方得到各自的证书后就可以使用 IKE 协议了。IKE 将在预先确定的时间间隔内自动更改其密钥。经常更改密钥会大大提高安全性,自动更改密钥会大大减少密钥管理任务。但是,更改密钥会增加信息流开销,因此,过于频繁地更改密钥会降低数据传输效率。IKE 密钥交换包括两个阶段的信息交换:第一阶段和第二阶段。第一阶段支持主模式和野蛮模式两种交换模式,第二阶段是快速模式。第 1 阶段可能发生在 Main mode(主模式)或 Aggressive mode(野蛮模式)下。这两种模式如下所述:Main Mode(主模式): 发起方和接受方之间进行三个双向信息交换(总共六条信息)以
23、获取以下信息:第一次交换, (信息 1 和 2):提出并接受加密和认证算法。第二次交换, (信息 3 和 4):执行 Diffie-Hellman 交换,发起方和接受方各提供一个当前数 ( 随机生成的号码) 。第三次交换, (信息 5 和 6):发送并验证其身份。在第三次交换信息时传输的信息由在前两次交换中建立的加密算法保护。因此,在明文中没有传输参与者的身份。Aggressive Mode(野蛮模式):发起方和接受方获取相同的对象,但仅进行两次交换,总共有三条消息:第 1 条消息: 发起方建议 SA,发起 Diffie-Hellman 交换,发送一个锐捷网络防火墙典型功能使用手册11当前数及
24、其 IKE 身份。第 2 条消息: 接受方接受 SA,认证发起方,发送一个当前数及其 IKE 身份,以及发送接受方的证书(如果使用证书) 。第 3 条消息: 发起方认证接受方,确认交换,发送发起方的证书 ( 如果使用证书)。由于参与者的身份是在明文中交换的 ( 在前两条消息中), Aggressive mode ( 主动模式) 不提供身份保护。第 2 阶段:当参与者建立了一个已认证的安全隧道后,他们将继续执行“ 第 2 阶段”。在此阶段中,他们将协商 SA 以保护要通过 IPSec 隧道传输的数据。与“第 1 阶段”的过程相似,参与者交换提议以确定要在 SA 中应用的安全参数。 “第 2 阶段
25、”提议还包括一个安全协议 “封装安全性负荷” (ESP) 或“ 认证包头” (AH) 和所选的加密和认证算法。如果需要“ 完全正向保密”(PFS),提议中还可以指定一个 Diffie-Hellman 组。1.6 Diffie-Hellman 交换:Diffie-Hellman 交换允许参与者生成一个共享的秘密值。该技术的优点在于它允许参与者在非安全媒体上创建秘密值,而不把此秘密值通过网络传输。有五个 Diffie-Hellman (DH) 组 ( RG-WALL 支持组 1、2 和 5,基于离散对数, 3、4 是使用的是椭圆曲线算法,因为没有达到工业标准,所以没有被主流 VPN 产品采用) 。
26、在各组计算中所使用主要模数的大小都不同,如下所述:DH 组 1:768 位模数DH 组 2:1024 位模数DH 组 5:1536 位模数模数越大,就认为生成的密钥越安全;但是,模数越大,密钥生成过程就越长。由于每个 DH 组的模数都有不同的大小,因此参与者必须使用相同的组。锐捷网络防火墙典型功能使用手册121.7 基于策略和基于路由的 VPNRG-WALL1600 安全网关支持非常灵活 VPN 连接的配置。可以创建基于路由和基于策略的 VPN 隧道。另外,每种隧道都可使用“ 预共享密钥” 或“ 证书”管理。基于策略的 VPN:利用基于策略的 VPN 隧道,隧道被当作对象(或构件块) ,与源、
27、目标、服务和动作一起,组成允许 VPN 信息流的策略。( 实际上,VPN 策略动作是permit,但如果选用了隧道,则暗指动作 tunnel)。在基于策略的 VPN 配置中,策略按名称引用 VPN 隧道。原 始 数 据 包 加 密 数 据 包安 全 策 略 表 隧 道如果是小型 VPN 网络,使用基于策略的 VPN 比较方便,可以对经过 VPN 的数据进行细粒度访问控制。基于路由的 VPN:利用基于路由的 VPN,策略不引用 VPN 隧道。RG-WALL1600 设备进行路由查询以找到通过其发送信息流到达该地址的接口时,找到隧道接口,它被绑定到特定 VPN。原 始 数 据 包 加 密 数 据
28、包路 由 表 隧 道锐捷网络防火墙典型功能使用手册13如果大型 VPN 网络,VPN 网络包含 VPN 主干网、VPN 边缘网。数据需要通过多个VPN 进行路由到达目的网络。我们称这种形式为纵向网,这时我们更习惯于将各个 VPN 作为路由器看待。使用基于路由的 VPN 更适合这种使用方式。因此,利用基于策略的 VPN 隧道,可将一个隧道视为策略结构中的一个元素。利用基于路由的 VPN 隧道,可将一个隧道当作传输信息流的方法,同时将一个策略当作允许或拒绝传送该信息流的方法。1.8 基于路由的双 VPN 隧道备份(ActiveActive)1.8.1 概述在 VPN 网络环境中,有一些对可靠性要求
29、比较高的情况下,用户希望支持双 VPN 隧道,并且希望两个 VPN 隧道能互为备份,一旦一条隧道故障,就网络应用可以立即切换为另外一条隧道。SecOS 架构下 IPSec VPN 隧道的应用模式支持两种:基于安全策略的 VPN 引用和基于路由的 VPN引用。目前 3.6.6.X 版本仅支持在基于路由的 VPN 模式下的隧道备份功能。在配置时,添加到用户的远端保护子网为目的地址的路由条目,其中下一跳选择一个 VPN 虚设备,并选择另一个 VPN 虚设备为备份。一旦检测到主 VPN 隧道故障,就切换到备份 VPN 隧道上。实现时,判断 VPN 隧道状态的条件是,同时满足下面两个条件时,就认为 VP
30、N 隧道正常,否则就认为隧道故障,需要切换到备份隧道:1. 从本地安全网关上可以 ping 通远端 VPN 网关;2. 该 VPN 隧道的状态是 “established”建立状态。当需要两条 VPN 同时使用,达到负载均衡的效果时,需要静态指定均衡比例,即将一个目的网段,静态划分为两个网段,然后加两条路由,分别选择下一跳为两条 VPN 隧道,并且以对方 VPN 隧道为备份,达到负载均衡且互为热备份的效果。1.8.2 典型拓扑和应用该功能典型应用包括下面两种情况。 情况一:用户每个 VPN 网关都具有两条公网链路,如下图示:锐捷网络防火墙典型功能使用手册14I P 1I P 2I P 3I P
31、 41 0 . 1 0 . 1 0 . X 网段安全网关 AI n t e r n e t1 0 . 1 0 . 2 0 . X 网段安全网关 B内部服务器分支机构客户端这种情况下,推荐的配置为:1. 分别在网关 A 和网关 B 上,配置 IP1 到 IP3 的一条 VPN 隧道 tunnel13,添加 vpn 设置为 vpn13;2. 分别在网关 A 和网关 B 上,配置 IP2 到 IP4 的一条 VPN 隧道 tunnel24,添加 vpn 设置为 vpn24;3. 在网关 A 上,配置源地址为 10.10.10.X 网段,目的为 10.10.20.X 网段的包过滤允许规则;4. 在网关
32、 A 上,配置目的地址为 10.10.20.X 网段的下一跳为 vpn13,备份下一跳为 vpn24;5. 在网关 B 上,配置源地址为 10.10.20.X 网段,目的为 10.10.10.X 网段的包过滤允许规则;6. 在网关 B 上,配置目的地址为 10.10.10.X 网段的下一跳为 vpn13,备份下一跳为 vpn24;如果希望负载均衡,可以对路由进行静态划分,比如目的 10.10.10.1/255.255.255.128 的下一跳为vpn13,备份下一跳为 vpn24;目的 10.10.10.128/255.255.255.128 的下一跳为 vpn24,备份下一跳为vpn13。注
33、意:这种情况下,需要两端网关都是锐捷网络公司的安全网关。 情况二:用户分支 VPN 网关仅有 1 个公网链路,但具有多个互为静像的多个上级中心节点可访问保护的服务器,如下图示:I P 1I P 3I P 41 0 . 1 0 . 1 0 . X 网段1 0 . 1 0 . 2 0 . X 网段安全网关 A安全网关 BI n t e r n e t地市级分支机构1 0 . 1 0 . 2 0 . X 网段安全网关 C省级分支机构中央总部内部静像服务器分支机构客户端锐捷网络防火墙典型功能使用手册15这种情况下,推荐的配置为:1. 分别在网关 A 和网关 B 上,配置 IP1 到 IP3 的一条 V
34、PN 隧道 tunnel13,添加 vpn 设置为vpn13;2. 分别在网关 A 和网关 C 上,配置 IP1 到 IP4 的一条 VPN 隧道 tunnel14,添加 vpn 设置为vpn14;3. 在网关 A 上,配置源地址为 10.10.10.X 网段,目的为 10.10.20.X 网段的包过滤允许规则;4. 在网关 A 上,配置目的地址为 10.10.20.X 网段的下一跳为 vpn13,备份下一跳为 vpn14;5. 在网关 B 上,配置本地保护子网为 10.10.20.X 网段,远端保护子网为 10.10.10.X 网段的包过滤允许走 VPN 规则 或 路由 VPN;6. 在网关
35、 C 上,本地保护子网为 10.10.20.X 网段,远端保护子网为 10.10.10.X 网段的包过滤允许走 VPN 规则 或 路由 VPN;这种应用下,不推荐使用负载均衡模式。注意:这种情况下,只需要分支机构网关都是锐捷网络公司的安全网关,其他安全网关可以是锐捷网络公司或其他第三方支持标准 IPSec 协议的网关。1.8.3 配置注意事项配置该功能时,除了正常的 IPSec VPN 隧道的配置外,需要特别注意以下几点:1. 首先在“VPN 配置基本配置 ”中,选择启用 VPN 设备备份功能,如下图所示:2. 然后在“VPN 配置VPN 隧道”配置完成后,需要添加 VPN 设备,做为基于路由
36、 VPN 选择的对象,如下图示意:锐捷网络防火墙典型功能使用手册163. 最后在“网络配置策略路由”配置中,添加路由,选择 VPN 设备和备份设备,如下图示:1.9 网关网关 VPN 隧道的建立IPSec VPN 隧道存在于两个网关之间,同时每个网关都需要一个 IP 地址。当两个网关都拥有静态公网 IP 地址或域名时,可以使用主模式、预共享密钥认证。当一个网关拥有静态地址或域名,而另一个网关拥有动态分配的地址或经过 NAT 接入公网时,可以使用两锐捷网络防火墙典型功能使用手册17种形式野蛮模式、预共享密钥,或者主模式、证书。静态网关到网关 VPN:用于此处时,静态网关到网关 VPN 包括一个连
37、接两个网络的 IPSec 隧道,每个网络都拥有一个作为安全网关的 RG-WALL1600 设备。在两个设备上用作外向接口的物理接口或子接口都有一个固定的 IP 地址或域名。由于远程网关的 IP 地址或域名保持不变而可以到达,因此,位于隧道任一端的主机可使用静态站点到站点 VPN 发起 VPN 隧道设置。这种情况下可以使用预共享密钥作为认证方式即可,身份默认就是网关的 IP 地址。动态网关到网关 VPN:如果其中一个 RG-WALL1600 设备的外向接口具有动态分配的 IP 地址或者通过 NAT 接入时,则该设备在术语上被称为“动态网关” ,并且具有不同的 VPN配置。因为从静态网关方面来发起
38、,不能确定对端的 IP 地址,只有动态网关才能发起 VPN 连接。但是,当在动态网关和静态网关之间建立隧道之后,如果目的主机有固定的 IP 地址,在两个网关之中的任一个网关后面的主机,都可发起 VPN 信息流。因为动态网关没有有效的公网地址或域名,所以不能使用主模式、预共享密钥。只能使用野蛮模式、预共享密钥或主模式、证书。1.9.1 典型案例:北京分公司的内部网络地址是 192.168.1.0/24,上海分公司的内部网络地址是192.168.2.0/24。北京安全网关的 IP 地址是 202.123.1.1,上海安全网关的 IP 地址是202.123.1.2。基于策略的 VPN 配置:北京安全
39、网关配置:锐捷网络防火墙典型功能使用手册181. 添加远程 VPN 端点配置,名称 sh,地址输入上海安全网关的地址202.123.1.2,预共享密钥使用“beijingshanghaiprekey” 。2. 添加 VPN 隧道,隧道名为 bj-sh,本地地址使用 202.123.1.1,远程 VPN端点使用“sh”。3. 添加安全策略,192.168.1.0/24 - 192.168.2.0/24 允许并且选用隧道“bj-sh”。4. 添加安全策略,192.168.2.0/24 - 192.168.1.0/24 允许并且选用隧道“bj-sh”。上海安全网关配置:1. 添加远程 VPN 端点配
40、置,名称 bj,地址输入北京安全网关的地址202.123.1.1,预共享密钥使用“beijingshanghaiprekey” 。2. 添加 VPN 隧道,隧道名为 sh-bj,本地地址使用 202.123.1.2,远程 VPN端点使用“bj”。3. 添加安全策略,192.168.1.0/24 - 192.168.2.0/24 允许并且选用隧道“sh-bj”。4. 添加安全策略,192.168.2.0/24 - 192.168.1.0/24 允许并且选用隧道“sh-bj”。基于路由的 VPN 配置:北京安全网关配置:1. 添加远程 VPN 端点配置,名称 sh,地址输入上海安全网关的地址202
41、.123.1.2,预共享密钥使用“beijingshanghaiprekey” 。2. 添加 VPN 隧道,隧道名为 bj-sh,本地地址使用 202.123.1.1,远程 VPN端点使用“sh”。3. 添加 VPN 设备 sh,绑定到隧道“bj-sh” 上。4. 添加策略路由目的地址 192.168.2.0/255.255.255.0, VPN 设备“sh”。5. 添加安全策略,192.168.1.0/24 - 192.168.2.0/24 允许。6. 添加安全策略,192.168.2.0/24 - 192.168.1.0/24 允许。锐捷网络防火墙典型功能使用手册19上海安全网关配置:1.
42、 添加远程 VPN 端点配置,名称 bj,地址输入北京安全网关的地址202.123.1.1,预共享密钥使用“beijingshanghaiprekey” 。2. 添加 VPN 隧道,隧道名为 sh-bj,本地地址使用 202.123.1.2,远程 VPN端点使用“bj”。3. 添加 VPN 设备 bj,绑定到隧道“sh-bj” 上。4. 添加策略路由目的地址 192.168.1.0/255.255.255.0, VPN 设备“bj”。5. 添加安全策略,192.168.1.0/24 - 192.168.2.0/24 允许。6. 添加安全策略,192.168.2.0/24 - 192.168.1
43、.0/24 允许。1.10 远程访问 VPN 隧道的建立配置远程访问 VPN 时,可以为每个 VPN 拨号用户配置隧道,或将用户安排到只需配置一个隧道的 VPN 客户端分组中。也可创建一个用户、一条隧道,所有 VPN 客户端都通过这条隧道访问内部网络。在有大型远程访问用户时,此方案特别节省时间,原因是不必单独配置每个 IKE 用户。VPN 客户端分组:某些组织拥有许多拨号 VPN 用户。例如,一个销售部门可能拥有几百个用户。对于数量如此之多的用户,为每位用户分别创建单独的用户定义、拨号 VPN 配置以及策略是不切实际的。为了消除这种麻烦, “VPN 客户端分组”方法建立一个可用于多个用户的用户
44、定义。锐捷网络防火墙典型功能使用手册201.10.1 典型案例:北京总部的内部网络地址是 192.168.1.0/24,北京安全网关的地址是 202.123.1.1。出差员工拨号获得的地址是 202.123.1.2,VPN 内部分配的地址是 192.168.2.253。基于策略的 VPN 配置:北京安全网关配置:1. 添加远程 VPN 端点配置,名称 chuchai,类型选择客户端。预共享密钥使用“chuchaiprekey”,交换模式选用“ 野蛮模式”,本地 ID 使用 RG-WALL,远程 ID 使用 chuchai。2. 添加 VPN 隧道,隧道名为 chuchai,本地地址使用 202
45、.123.1.1,远程VPN 端点使用“chuchai” 。3. 添加安全策略,192.168.2.0/24 - 192.168.1.0/24 允许并且选用隧道“chuchai”。VPN 客户端配置:1. 添加 VPN 连接配置,名称 bj,地址输入北京安全网关的地址202.123.1.1,预共享密钥使用“chuchaiprekey” 。要访问的网络是192.168.1.0/255.255.255.0。2. 在高级界面中,选择策略部分的“设置” 按钮。交换模式选用 “野蛮模式”,在本地 ID 输入框中输入“chuchai”3. 在高级界面中,选择获取虚拟地址。在地址栏中手工设置 IP 地址19
46、2.168.2.253/255.255.255.0锐捷网络防火墙典型功能使用手册211.11 RG-WALL VPN CA 中心软件的使用1.11.1 RG-WALL1600 安全网关 VPN 证书配置申请证书时, RG-WALL1600 安全网关设备生成密钥对。公开密钥合并在申请中,在VPN 配置界面中导出证书申请。将申请交给 RG-WALL VPN CA 中心,CA 中心签发证书。最后将证书导入到安全网关中。在使用证书进行 VPN 安全互联之前,请将 CA 证书也导入到 VPN 中。1.11.2 RG-WALL VPN CA 中心软件RG-WALL VPN CA 中心是一个简单的 CA,可
47、以完成签发证书请求等功能。 打开 RG-WALL VPN CA 中心,选择菜单“证书管理”中的“导入证书请求”。导入后列表中出现导入证书请求。 选择“证书管理”中的“ 生成证书” 选择有效期,如 10 年。输入 CA 密码后,RG-WALL 默认 CA 证书中心的 CA 私钥口令是“firewall” 。 RG-WALL VPN CA 中心将利用 CA 私钥将签发选择的证书请求,签发成功后,选择“导出证书”将证书导出,然后就可以在 RG-WALL1600 安全网关或 VPN 客户端上导入。1.12 PPTP/L2TP 远程访问 VPN 配置方法PPTP 和 L2TP 是二层隧道的协议,为远程主
48、机通过 VPN 网关访问企业内部网络提供链路。RG-WALL1600 安全网关可以配置为 PPTP/L2TP VPN 网关,远程主机就可以通过 Microsoft Windows 98/2000/XP/2003 四种操作系统使用 PPTP 和 L2TP 连接企业内部网络。配置安全网关为 PPTP/L2TP VPN 网关在安全网关的 VPN 基本配置中启用 PPTP/L2TP 服务。添加远程拨号用户后,远程主机就可以通过Microsoft Windows 98/2000/XP/2003 四种操作系统使用 PPTP 和 L2TP 连接企业内部网络。如何配置安全网关为 PPTP/L2TP VPN 网
49、关,可以参考锐捷网络 RG-WALL1600 安全网关 WEB界面手册中 VPN 配置一章。下面叙述如何在 Windows 的各平台上配置 PPTP/L2TP 远程访问。Windows 98 操作系统Windows 98 平台缺省支持 PPTP,但不支持 L2TP。添加虚拟专用网络适配器:右键单击“网上邻居” ,选择 ”属性”,查看是否安装了“Microsoft 虚拟专用锐捷网络防火墙典型功能使用手册22网络适配器”网络组件。如果没有,单击 ”添加”,选择” 适配器” ,选择厂商”microsoft”,网络适配器“Microsoft 虚拟专用网络适配器”。建立拨号连接:进入“拨号网络 ”。双击”建立新连接”,输入对方计算机名称“RG-WALL” ,选择设备“Microsoft VPN Adapter”,单击” 下一步”,输入 PPTP VPN 网关的 IP 地址。Windows 2000/XP/2003 操作系统由于 Windows 缺省将 L2TP 和 IPSec 捆绑使用,但 Windows 2000/XP 配置使用 IPSec 非常复杂而且各不相同。为了简化配置,修改注册表将 L2TP 和 IPSec 拆分:在HKEY_LOCAL_MACHINESYSTEMCurrentControlS
