RG-WALL1600系列防火墙典型功能使用说明手册.doc

锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 1 锐捷网络防火墙详细实例锐捷网络防火墙详细实例 目目 录录 第一章第一章 VPN 功能使用功能使用 5 1 1 概述 5 1 2 IPSEC VPN 技术原理简介 5 1 3 IPSEC VPN 对数据包的处理 6 1 4 IPSEC NAT 穿透 8 1 5 密钥管理 IKE 密钥协商 8 1 6 DIFFIE HELLMAN交换 10 1 7 基于策略和基于路由的 VPN 11 1 8 基于路由的双 VPN 隧道备份 ACTIVE ACTIVE 12 1 9 网关 网关 VPN 隧道的建立 15 1 9 1典型案例 16 1 10 远程访问 VPN 隧道的建立 18 1 10 1典型案例 19 1 11 RG WALL VPN CA 中心软件的使用 20 1 11 1 RG WALL1600安全网关VPN证书配置 20 1 11 2 RG WALL VPN CA中心软件 20 1 12 PPTP L2TP 远程访问 VPN 配置方法 20 1 13 动态域名 24 1 13 1使用动态域名的动态RG WALL1600防火墙 24 1 13 2如何注册3322 org的动态域名 25 1 14 常见问题 25 1 14 1 VPN不响应远程的密钥协商请求 25 1 14 2 VPN的代理ID配置 25 第二章第二章 高可用性高可用性 26 2 1 VRRP 简介 26 2 1 1 VRRP意义 26 2 1 2 VRRP简介 27 2 1 3 VRRP工作原理 27 2 2RG WALL1600 防火墙路由 HA 28 2 2 1 Active Active负载均衡 28 2 2 1 1 WebUI配置 29 2 2 1 2 CLI配置 37 2 2 2 Active Standby冗余备份 40 2 2 2 1 WebUI配置 41 2 2 2 2 CLI配置 49 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 2 2 2 3 路由HA模式下支持VRRP虚地址IP和地址属性同步 51 2 2 3 1 概述 51 2 2 3 2使用方法 51 2 3PVST 简介 52 2 4RG WALL1600 安全网关多 VLAN交换环境冗余备份 53 2 4 1 拓扑结构 53 2 4 2 安全网关配置 55 2 4 2 1 WebUI配置 55 2 4 2 2 CLI配置 60 第三章第三章 用户认证用户认证 62 3 1 概述 62 3 2 服务器 62 3 2 1功能 62 3 2 2内置参数 64 3 2 3WEB页面 64 3 3 用户组 65 3 3 1功能 65 3 3 2WEB页面 66 3 4用户列表 68 3 4 1功能 68 3 4 2WEB页面 68 3 5在线用户 69 3 6客户端 69 3 6 1简介 69 3 6 1 1帐号 口令方式 69 3 6 1 2电子钥匙方式 69 3 6 2安装 70 3 6 3功能 70 3 6 3 1 主界面 70 3 6 3 2配置系统 70 3 6 3 3账户 口令方式认证 71 3 6 3 4修改口令 72 3 6 3 5电子钥匙驱动程序的安装 73 3 6 3 6配置电子钥匙 73 3 6 3 7修改电子钥匙PIN口令 74 3 6 3 8电子钥匙认证 75 3 6 3 9修改口令 76 3 6 3 10认证失败信息 76 3 7实例及网络拓扑 77 3 7 1本地认证 77 3 7 1 1设置服务器 78 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 3 3 7 1 2设置系统的安全规则 79 3 7 1 3设置时间和地址定义 79 3 7 1 4添加用户组 80 3 7 1 5添加用户 81 3 7 2RADIUS服务器认证 83 第四章第四章 动态路由动态路由 84 4 1动态路由 OSPF RIP 功能 84 4 1 1 License控制 84 4 1 2 功能概述 85 4 1 3 配置方法 89 4 1 3 典型应用拓扑 90 第五章第五章 典型应用案例典型应用案例 93 5 1纯路由 私有子网 93 5 1 1特点 93 5 1 2拓扑 93 5 1 3实施要点 94 5 1 4配置 94 5 2纯路由 公网 94 5 2 1特点 94 5 2 2拓扑 95 5 2 3实施要点 95 5 2 4配置 95 5 3纯透明 内部网 96 5 3 1特点 96 5 3 2拓扑 96 5 3 3实施要点 96 5 3 4配置 97 5 4纯透明 97 5 4 1特点 97 5 4 2拓扑 98 5 4 3实施要点 98 5 4 4配置 98 5 5混合 99 5 5 1特点 99 5 5 2拓扑 99 5 5 3实施要点 99 5 5 4配置 100 5 6多内网 100 5 6 1特点 100 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 4 5 6 2拓扑 101 5 6 3实施要点 101 5 6 4配置 101 5 7多 VLAN 内网 102 5 7 1特点 102 5 7 2拓扑 103 5 7 3实施要点 103 5 7 4配置 103 5 8VLAN 旁路 104 5 8 1特点 104 5 8 2拓扑 104 5 8 3实施要点 104 5 8 4配置 105 5 9多外网口 105 5 9 1特点 105 5 9 2拓扑 106 5 9 3实施要点 106 5 9 4配置 106 5 10DHCP 客户端 107 5 10 1特点 107 5 10 2拓扑 107 5 10 3实施要点 107 5 10 4配置 108 5 11DHCP 服务器 108 5 11 1特点 108 5 11 2拓扑 108 5 11 3实施要点 109 5 11 4配置 109 5 12DHCP 中继 109 5 12 1特点 109 5 12 2拓扑 110 5 12 3实施要点 110 5 12 4配置 110 5 13 普通 ADSL 线路 混合模式 111 5 13 1拓扑图 111 5 13 2应用环境及要求 111 5 13 3 周边网络设备配置要点 112 5 14 专线 内网提供 WEB 服务 113 5 14 1拓扑图 113 5 14 2应用环境及要求 113 5 14 3周边网络设备配置要点 114 5 15 多 ADSL 线路 负载均衡 115 5 15 1拓扑图 115 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 5 5 15 2应用环境及要求 115 5 15 3周边网络设备配置要点 116 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 6 第一章第一章 VPN 功能使用功能使用 1 1 概述概述 虚拟专用网 VPN 使得用户可以在开放的 Internet 上基于 IPSec 或 PPTP L2TP 协议 族的一系列加密认证以及密钥交换技术 构建一个安全的私有专网 具有同本地私有网络 一样的安全性 可靠性和可管理性等特点 这样可以大大降低了企业 政府 科研机构等建设 专门私有网络的费用 VPN 连接可以连接两个局域网 LAN 或一个远程拨号用户和一个 LAN 在这 VPN 连接的两个 VPN 端点间流动的信息流以加密的密文形式经过共享的 Internet 设备 例如 路由器 交换机以及其它组成公用 WAN 的网络设备 要在公网传输过程中确保 VPN 通信的安全性 IPSec VPN 的两个端点间必须创建一 个 IPSec 隧道 IPSec 隧道由一对指定安全参数索引 SPI 的单向 安全联盟 SA 位于 隧道的两端 目标 IP 地址以及使用的安全协议 认证包头 或 封装安全性负荷 组成 通过这些参数可以对数据进行加密与完整性处理 保证通信数据的私密性和完整性 1 2 IPSec VPN 技术原理简介技术原理简介 根据因特网工程标准工作组 IETF 的定义 IPSec 的协议框架结构如下图所示 IPSec体系 ESP协议AH协议 加密算法认证算法 DOI解释域 密钥管理 ISAKMP IKE 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 7 IPSec 最终为网络数据提供 ESP 与 AH 安全保护 ESP 协议为数据提供了加密与完整 性保护 AH 协议只对数据提供完整性保护 一般来说 IPSec VPN 使用 ESP 协议 AH 协 议只在某些禁止使用加密的情况下使用 加密算法 验证算法 密钥管理都是为了 ESP AH 服务的 封装安全载荷 封装安全载荷 Encapsulating Security Protocol E S P 是插入 I P 数 据报内的一个协议头 以便为 I P 提供机密性 数据源验证 抗重播以及数据 完整性等安全服务 隧道模式下 它加密封装整个 I P 数据报 验证头 验证头 Authentication Header A H 是一种 I P S e c 协议 用于为 I P 提供数据完整性 数据原始身份验证和一些可选的 有限的抗重播服务 它 定义在 R F C 2 4 0 2 中 除了机密性之外 A H 提供 E S P 能够提供的一切 东西 但要注意的是 A H 不对受保护的 I P 数据报的任何部分进行加密 加密算法加密算法 并非只有单独的一种 有多种技术都可用来加密信息 安全地交 换密钥 维持信息完整以及确保一条消息的真实性 将所有这些技术组合在 一起 才能在日益开放的世界中 提供保守一项秘密所需的各项服务 验证算法验证算法 为保守一个秘密 它的机密性是首先必须保证的 但假如不进行 身份验证 也没有办法知道要同你分享秘密的人是不是他 她所声称的那个 人 同时假如不能验证接收到的一条消息的完整性 也无法知道它是否确为 实际发出的那条消息 Internet 密钥交换 密钥交换 Internet Key Exchange I K E 定义了安全参数如 何协商 以及共享密钥如何建立 但它没有定义的是协商内容 这方面的定 义是由 解释域 D O I 文档来进行的 安全联盟 安全联盟 Security Association S A 用 IPSec 保护一个 I P 包之前 必须先建立一个安全联盟 S A IKE 用于动态建立 S A IKE 代表 IPSec 对 S A 进行协商 并对 SADB 数据库进行填充 1 3 IPSec VPN 对数据包的处理对数据包的处理 IPSec VPN 主要有两种形式 分支机构互联 VPN 和移动用户远程访问 VPN 下面就 这两种形式的 VPN 介绍 IPSec 是如何实现网络互联与安全保护的 如下图 某企业有北京和上海两个分支 北京分公司的内部网络地址是 192 168 1 0 24 上海分公司的内部网络地址是 192 168 2 0 24 北京安全网关的 IP 地址 是 202 123 1 1 上海安全网关的 IP 地址是 202 123 1 2 建立 VPN 后数据包的处理过程 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 8 是如下这样 1 北京访问上海数据包 192 168 1 254 192 168 2 254 数据包是原 始访问数据 2 北京安全网关加密处理 202 123 1 1 202 123 1 2 数据包内是加密 后的数据 3 经过 Internet 到达上海安全网关 4 上海安全网关解密 解密后得到原始数据包 192 168 1 254 192 168 2 254 5 上海安全网关转发到内部网络 上海服务器 192 168 2 254 收到访问数据 6 上海服务器返回数据 192 168 2 254 192 168 1 254 经过相同的处 理过程 数据包可以安全地返回给北京的访问主机 如下图 某企业上海出差员工要访问北京总部 北京总部的内部网络地址是 192 168 1 0 24 北京安全网关的地址是 202 123 1 1 出差员工拨号获得的地址是 202 123 1 2 VPN 内部分配的地址是 192 168 2 254 建立 VPN 后数据的处理过程就是如 下这样的 1 出差用户访问北京总部 192 168 2 254 192 168 1 254 数据包原始 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 9 数据 2 出差用户主机 VPN 客户端对数据加密处理 202 123 1 2 202 123 1 1 数据包内是加密后的数据 3 经过 Internet 到达北京安全网关 4 北京安全网关解密 解密后得到原始数据包 192 168 2 254 192 168 1 254 5 北京安全网关转发到内部网络 北京服务器 192 168 1 254 收到访问数据 6 北京服务器返回数据 192 168 1 254 192 168 2 254 经过相同的处 理过程 数据包可以安全地返回给出差用户的访问主机 1 4 IPSEC NAT 穿透 穿透 网络地址转换 NAT 和 网络地址端口转换 NAPT 为互联网标准 它允许局域网 LAN 将一组 IP 地址用于内部信息流 将第二组地址用于外部信息流 NAT 设备从预定 义的 IP 地址池中生成这些外部地址 在设置 IPSec 隧道时 沿着数据路径出现 NAT 设备不影响 阶段 1 和 阶段 2 的 IKE 协商 它通常将 IKE 封包封装在 用户数据报协议 UDP 封包中 但是 在完成 阶 段 2 协商后 执行 IPSec 封包上的 NAT 会导致隧道失败 在 NAT 对 IPSec 造成中断 的众多原因中 其中一个原因就是 对于 封装安全性协议 ESP 来说 NAT 设备不能识 别端口转换的 第 4 层 包头的位置 因为它已被加密 对于 认证包头 AH 协议 NAT 设备可以修改端口号 但不可以修改认证检查 于是对整个 IPSec 封包的认证检查就会失 败 RG WALL1600 使用 NAT 穿越功能可以解决此问题 NAT 穿越协议通过对 ESP 和 AH 协议进行 UDP 封装 在加密封装后的数据包中增加 UDP 头 这样 NAT 设备就可以对加密数据包进行正确的 NAT 端口转换 1 5 密钥管理 密钥管理 IKE 密钥协商 密钥协商 密钥的分配和管理对于成功使用 VPN 很关键 只有参与通信的 VPN 双方得到共同密 钥才能使 VPN 正确加密通信 保证参与通信的 VPN 双方能够安全地协商出共同的密钥是 整个 VPN 通信的关键 所以密钥协商是 VPN 安全使用的关键 他不仅要解决密钥协商 还需要解决 VPN 双方的身份认证 算法协商 保护模式协商 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 10 IPSec 使用 互联网密钥交换 IKE 协议支持密钥的自动生成和协商以及安全联盟协商 身份验证方式支持预共享密钥和证书两种 预共享密钥认证方式预共享密钥认证方式 通过使用预共享密钥的 自动密钥 IKE 来认证 IKE 会 话中的参与者时 各方都必须预先配置和安全地交换预共享密钥 一旦预共 享密钥被正确分配后 就可使用 IKE 协议了 证书验证方式证书验证方式 经过 CA 签发的证书中含有 CA 私钥签名和身份信息 可以使 用 CA 的公开密钥 可以公开给任何人得到 去验证证书的有效性 同时交换 中需要传递自身私钥的签名 通过证书中的公钥验证 经过这些过程就可以 确认证书的有效性和证书持有人的唯一性 各方得到各自的证书后就可以使 用 IKE 协议了 IKE 将在预先确定的时间间隔内自动更改其密钥 经常更改密钥会大大提高安全性 自 动更改密钥会大大减少密钥管理任务 但是 更改密钥会增加信息流开销 因此 过于频 繁地更改密钥会降低数据传输效率 IKE 密钥交换包括两个阶段的信息交换 第一阶段和第二阶段 第一阶段支持主模式和 野蛮模式两种交换模式 第二阶段是快速模式 第 1 阶段可能发生在 Main mode 主模式 或 Aggressive mode 野蛮模 式 下 这两种模式如下所述 Main Mode 主模式 发起方和接受方之间进行三个双向信息交换 总共 六条信息 以获取以下信息 第一次交换 信息 1 和 2 提出并接受加密和认证算法 第二次交换 信息 3 和 4 执行 Diffie Hellman 交换 发起方和 接受方各提供一个当前数 随机生成的号码 第三次交换 信息 5 和 6 发送并验证其身份 在第三次交换信息时传输的信息由在前两次交换中建立的加密算法保 护 因此 在明文中没有传输参与者的身份 Aggressive Mode 野蛮模式 发起方和接受方获取相同的对象 但仅进行 两次交换 总共有三条消息 第 1 条消息 发起方建议 SA 发起 Diffie Hellman 交换 发送一个 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 11 当前数及其 IKE 身份 第 2 条消息 接受方接受 SA 认证发起方 发送一个当前数及其 IKE 身份 以及发送接受方的证书 如果使用证书 第 3 条消息 发起方认证接受方 确认交换 发送发起方的证书 如 果使用证书 由于参与者的身份是在明文中交换的 在前两条消息中 Aggressive mode 主动模式 不提供身份保护 第 2 阶段 当参与者建立了一个已认证的安全隧道后 他们将继续执行 第 2 阶段 在此阶段中 他们将协商 SA 以保护要通过 IPSec 隧道传输的数据 与 第 1 阶段 的过程相似 参与者交换提议以确定要在 SA 中应用的安全参 数 第 2 阶段 提议还包括一个安全协议 封装安全性负荷 ESP 或 认 证包头 AH 和所选的加密和认证算法 如果需要 完全正向保密 PFS 提议中还可以指定一个 Diffie Hellman 组 1 6 Diffie Hellman 交换 交换 Diffie Hellman 交换允许参与者生成一个共享的秘密值 该技术的优点在于它允许参与 者在非安全媒体上创建秘密值 而不把此秘密值通过网络传输 有五个 Diffie Hellman DH 组 RG WALL 支持组 1 2 和 5 基于离散对数 3 4 是使用的是椭圆曲线算 法 因为没有达到工业标准 所以没有被主流 VPN 产品采用 在各组计算中所使用主要 模数的大小都不同 如下所述 DH 组 1 768 位模数 DH 组 2 1024 位模数 DH 组 5 1536 位模数 模数越大 就认为生成的密钥越安全 但是 模数越大 密钥生成过程就越长 由于 每个 DH 组的模数都有不同的大小 因此参与者必须使用相同的组 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 12 1 7 基于策略和基于路由的基于策略和基于路由的 VPN RG WALL1600 安全网关支持非常灵活 VPN 连接的配置 可以创建基于路由和基于策 略的 VPN 隧道 另外 每种隧道都可使用 预共享密钥 或 证书 管理 基于策略的 VPN 利用基于策略的 VPN 隧道 隧道被当作对象 或构件块 与源 目标 服 务和动作一起 组成允许 VPN 信息流的策略 实际上 VPN 策略动作是 permit 但如果选用了隧道 则暗指动作 tunnel 在基于策略的 VPN 配置 中 策略按名称引用 VPN 隧道 原始数据包加密数据包 安全策略表 隧道 如果是小型 VPN 网络 使用基于策略的 VPN 比较方便 可以对经过 VPN 的数据进行 细粒度访问控制 基于路由的 VPN 利用基于路由的 VPN 策略不引用 VPN 隧道 RG WALL1600 设备进行路 由查询以找到通过其发送信息流到达该地址的接口时 找到隧道接口 它被 绑定到特定 VPN 原始数据包加密数据包 路由表 隧道 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 13 如果大型 VPN 网络 VPN 网络包含 VPN 主干网 VPN 边缘网 数据需要通过多个 VPN 进行路由到达目的网络 我们称这种形式为纵向网 这时我们更习惯于将各个 VPN 作 为路由器看待 使用基于路由的 VPN 更适合这种使用方式 因此 利用基于策略的 VPN 隧道 可将一个隧道视为策略结构中的一个元素 利用 基于路由的 VPN 隧道 可将一个隧道当作传输信息流的方法 同时将一个策略当作允许 或拒绝传送该信息流的方法 1 8 基于路由的双基于路由的双 VPN 隧道备份 隧道备份 Active Active 1 8 1 概述概述 在 VPN 网络环境中 有一些对可靠性要求比较高的情况下 用户希望支持双 VPN 隧道 并且希望 两个 VPN 隧道能互为备份 一旦一条隧道故障 就网络应用可以立即切换为另外一条隧道 SecOS 架构下 IPSec VPN 隧道的应用模式支持两种 基于安全策略的 VPN 引用和基于路由的 VPN 引用 目前目前 3 6 6 X 版本仅支持在基于路由的版本仅支持在基于路由的 VPN 模式下的隧道备份功能 模式下的隧道备份功能 在配置时 添加到用户的远端保护子网为目的地址的路由条目 其中下一跳选择一个 VPN 虚设备 并选择另一个 VPN 虚设备为备份 一旦检测到主 VPN 隧道故障 就切换到备份 VPN 隧道上 实现时 判断 VPN 隧道状态的条件是 同时满足下面两个条件时 就认为 VPN 隧道正常 否则就 认为隧道故障 需要切换到备份隧道 1 从本地安全网关上可以 ping 通远端 VPN 网关 2 该 VPN 隧道的状态是 established 建立状态 当需要两条 VPN 同时使用 达到负载均衡的效果时 需要静态指定均衡比例 即将一个目的网段 静态划分为两个网段 然后加两条路由 分别选择下一跳为两条静态划分为两个网段 然后加两条路由 分别选择下一跳为两条 VPN 隧道 并且以对方隧道 并且以对方 VPN 隧道为备隧道为备 份 达到负载均衡且互为热备份的效果 份 达到负载均衡且互为热备份的效果 1 8 2 典型拓扑和应用典型拓扑和应用 该功能典型应用包括下面两种情况 情况一 用户每个情况一 用户每个 VPN 网关都具有两条公网链路 如下图示 网关都具有两条公网链路 如下图示 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 14 IP1 IP2 IP3 IP4 10 10 10 X网段 安全网关A Internet 10 10 20 X网段 安全网关B 内部服 务器 分支机构客 户端 这种情况下 推荐的配置为 1 分别在网关 A 和网关 B 上 配置 IP1 到 IP3 的一条 VPN 隧道 tunnel13 添加 vpn 设置为 vpn13 2 分别在网关 A 和网关 B 上 配置 IP2 到 IP4 的一条 VPN 隧道 tunnel24 添加 vpn 设置为 vpn24 3 在网关 A 上 配置源地址为 10 10 10 X 网段 目的为 10 10 20 X 网段的包过滤允许规则 4 在网关 A 上 配置目的地址为 10 10 20 X 网段的下一跳为 vpn13 备份下一跳为 vpn24 5 在网关 B 上 配置源地址为 10 10 20 X 网段 目的为 10 10 10 X 网段的包过滤允许规则 6 在网关 B 上 配置目的地址为 10 10 10 X 网段的下一跳为 vpn13 备份下一跳为 vpn24 如果希望负载均衡 可以对路由进行静态划分 比如目的如果希望负载均衡 可以对路由进行静态划分 比如目的 10 10 10 1 255 255 255 128 的下一跳为的下一跳为 vpn13 备份下一跳为备份下一跳为 vpn24 目的目的 10 10 10 128 255 255 255 128 的下一跳为的下一跳为 vpn24 备份下一跳为备份下一跳为 vpn13 注意 这种情况下 需要两端网关都是锐捷网络公司的安全网关 注意 这种情况下 需要两端网关都是锐捷网络公司的安全网关 情况二 用户分支情况二 用户分支 VPN 网关仅有网关仅有 1 个公网链路 但具有多个互为静像的多个上级中心节点可访问保个公网链路 但具有多个互为静像的多个上级中心节点可访问保 护的服务器 如下图示 护的服务器 如下图示 IP1 IP3 IP4 10 10 10 X网段 10 10 20 X网段 安全网关A 安全网关B Internet 地市级分支 机构 10 10 20 X网段 安全网关C 省级分支机 构 中央总部 内 部 静 像 服 务 器 分支机构客 户端 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 15 这种情况下 推荐的配置为 1 分别在网关 A 和网关 B 上 配置 IP1 到 IP3 的一条 VPN 隧道 tunnel13 添加 vpn 设置为 vpn13 2 分别在网关 A 和网关 C 上 配置 IP1 到 IP4 的一条 VPN 隧道 tunnel14 添加 vpn 设置为 vpn14 3 在网关 A 上 配置源地址为 10 10 10 X 网段 目的为 10 10 20 X 网段的包过滤允许规则 4 在网关 A 上 配置目的地址为 10 10 20 X 网段的下一跳为 vpn13 备份下一跳为 vpn14 5 在网关 B 上 配置本地保护子网为 10 10 20 X 网段 远端保护子网为 10 10 10 X 网段的包过 滤允许走 VPN 规则 或 路由 VPN 6 在网关 C 上 本地保护子网为 10 10 20 X 网段 远端保护子网为 10 10 10 X 网段的包过滤允 许走 VPN 规则 或 路由 VPN 这种应用下 不推荐使用负载均衡模式 注意 这种情况下 只需要分支机构网关都是锐捷网络公司的安全网关 其他安全网关可以是锐捷网络注意 这种情况下 只需要分支机构网关都是锐捷网络公司的安全网关 其他安全网关可以是锐捷网络 公司或其他第三方支持标准公司或其他第三方支持标准 IPSec 协议的网关 协议的网关 1 8 3 配置注意事项配置注意事项 配置该功能时 除了正常的 IPSec VPN 隧道的配置外 需要特别注意以下几点 1 首先在首先在 VPN 配置配置 基本配置基本配置 中 选择启用中 选择启用 VPN 设备备份功能 如下图所示 设备备份功能 如下图所示 2 然后在然后在 VPN 配置配置 VPN 隧道隧道 配置完成后 需要添加配置完成后 需要添加 VPN 设备 做为基于路由设备 做为基于路由 VPN 选择的对象 选择的对象 如下图示意 如下图示意 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 16 3 最后在最后在 网络配置网络配置 策略路由策略路由 配置中 添加路由 选择配置中 添加路由 选择 VPN 设备和备份设备 如下图示 设备和备份设备 如下图示 1 9 网关 网关网关 网关 VPN 隧道的建立隧道的建立 IPSec VPN 隧道存在于两个网关之间 同时每个网关都需要一个 IP 地址 当两个网 关都拥有静态公网 IP 地址或域名时 可以使用主模式 预共享密钥认证 当一个网关拥有 静态地址或域名 而另一个网关拥有动态分配的地址或经过 NAT 接入公网时 可以使用两 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 17 种形式野蛮模式 预共享密钥 或者主模式 证书 静态网关到网关 VPN 用于此处时 静态网关到网关 VPN 包括一个连接两个网络的 IPSec 隧道 每 个网络都拥有一个作为安全网关的 RG WALL1600 设备 在两个设备上用作 外向接口的物理接口或子接口都有一个固定的 IP 地址或域名 由于远程网 关的 IP 地址或域名保持不变而可以到达 因此 位于隧道任一端的主机可使 用静态站点到站点 VPN 发起 VPN 隧道设置 这种情况下可以使用预共享密钥作为认证方式即可 身份默认就是网关的 IP 地址 动态网关到网关 VPN 如果其中一个 RG WALL1600 设备的外向接口具有动态分配的 IP 地址或者通 过 NAT 接入时 则该设备在术语上被称为 动态网关 并且具有不同的 VPN 配置 因为从静态网关方面来发起 不能确定对端的 IP 地址 只有动态网关 才能发起 VPN 连接 但是 当在动态网关和静态网关之间建立隧道之后 如 果目的主机有固定的 IP 地址 在两个网关之中的任一个网关后面的主机 都可发起 VPN 信息流 因为动态网关没有有效的公网地址或域名 所以不能 使用主模式 预共享密钥 只能使用野蛮模式 预共享密钥或主模式 证书 1 9 1 典型案例 典型案例 北京分公司的内部网络地址是 192 168 1 0 24 上海分公司的内部网络地址是 192 168 2 0 24 北京安全网关的 IP 地址是 202 123 1 1 上海安全网关的 IP 地址是 202 123 1 2 基于策略的 VPN 配置 北京安全网关配置 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 18 1 添加远程 VPN 端点配置 名称 sh 地址输入上海安全网关的地址 202 123 1 2 预共享密钥使用 beijingshanghaiprekey 2 添加 VPN 隧道 隧道名为 bj sh 本地地址使用 202 123 1 1 远程 VPN 端点使用 sh 3 添加安全策略 192 168 1 0 24 192 168 2 0 24 允许并且选用隧道 bj sh 4 添加安全策略 192 168 2 0 24 192 168 1 0 24 允许并且选用隧道 bj sh 上海安全网关配置 1 添加远程 VPN 端点配置 名称 bj 地址输入北京安全网关的地址 202 123 1 1 预共享密钥使用 beijingshanghaiprekey 2 添加 VPN 隧道 隧道名为 sh bj 本地地址使用 202 123 1 2 远程 VPN 端点使用 bj 3 添加安全策略 192 168 1 0 24 192 168 2 0 24 允许并且选用隧道 sh bj 4 添加安全策略 192 168 2 0 24 192 168 1 0 24 允许并且选用隧道 sh bj 基于路由的 VPN 配置 北京安全网关配置 1 添加远程 VPN 端点配置 名称 sh 地址输入上海安全网关的地址 202 123 1 2 预共享密钥使用 beijingshanghaiprekey 2 添加 VPN 隧道 隧道名为 bj sh 本地地址使用 202 123 1 1 远程 VPN 端点使用 sh 3 添加 VPN 设备 sh 绑定到隧道 bj sh 上 4 添加策略路由目的地址 192 168 2 0 255 255 255 0 VPN 设备 sh 5 添加安全策略 192 168 1 0 24 192 168 2 0 24 允许 6 添加安全策略 192 168 2 0 24 192 168 1 0 24 允许 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 19 上海安全网关配置 1 添加远程 VPN 端点配置 名称 bj 地址输入北京安全网关的地址 202 123 1 1 预共享密钥使用 beijingshanghaiprekey 2 添加 VPN 隧道 隧道名为 sh bj 本地地址使用 202 123 1 2 远程 VPN 端点使用 bj 3 添加 VPN 设备 bj 绑定到隧道 sh bj 上 4 添加策略路由目的地址 192 168 1 0 255 255 255 0 VPN 设备 bj 5 添加安全策略 192 168 1 0 24 192 168 2 0 24 允许 6 添加安全策略 192 168 2 0 24 192 168 1 0 24 允许 1 10 远程访问远程访问 VPN 隧道的建立隧道的建立 配置远程访问 VPN 时 可以为每个 VPN 拨号用户配置隧道 或将用户安排到只需配 置一个隧道的 VPN 客户端分组中 也可创建一个用户 一条隧道 所有 VPN 客户端都通 过这条隧道访问内部网络 在有大型远程访问用户时 此方案特别节省时间 原因是不必 单独配置每个 IKE 用户 VPN 客户端分组 某些组织拥有许多拨号 VPN 用户 例如 一个销售部门可能拥有几百个用户 对于 数量如此之多的用户 为每位用户分别创建单独的用户定义 拨号 VPN 配置以及策略是不 切实际的 为了消除这种麻烦 VPN 客户端分组 方法建立一个可用于多个用户的用户定义 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 20 1 10 1 典型案例 典型案例 北京总部的内部网络地址是 192 168 1 0 24 北京安全网关的地址是 202 123 1 1 出 差员工拨号获得的地址是 202 123 1 2 VPN 内部分配的地址是 192 168 2 253 基于策略的 VPN 配置 北京安全网关配置 1 添加远程 VPN 端点配置 名称 chuchai 类型选择客户端 预共享密钥 使用 chuchaiprekey 交换模式选用 野蛮模式 本地 ID 使用 RG WALL 远程 ID 使用 chuchai 2 添加 VPN 隧道 隧道名为 chuchai 本地地址使用 202 123 1 1 远程 VPN 端点使用 chuchai 3 添加安全策略 192 168 2 0 24 192 168 1 0 24 允许并且选用隧道 chuchai VPN 客户端配置 1 添加 VPN 连接配置 名称 bj 地址输入北京安全网关的地址 202 123 1 1 预共享密钥使用 chuchaiprekey 要访问的网络是 192 168 1 0 255 255 255 0 2 在高级界面中 选择策略部分的 设置 按钮 交换模式选用 野蛮模式 在本地 ID 输入框中输入 chuchai 3 在高级界面中 选择获取虚拟地址 在地址栏中手工设置 IP 地址 192 168 2 253 255 255 255 0 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 21 1 11 RG WALL VPN CA 中心软件的使用中心软件的使用 1 11 1 RG WALL1600 安全网关安全网关 VPN 证书配置证书配置 申请证书时 RG WALL1600 安全网关设备生成密钥对 公开密钥合并在申请中 在 VPN 配置界面中导出证书申请 将申请交给 RG WALL VPN CA 中心 CA 中心签发证书 最后将证书导入到安全网关中 在使用证书进行 VPN 安全互联之前 请将 CA 证书也导入到 VPN 中 1 11 2 RG WALL VPN CA 中心软件中心软件 RG WALL VPN CA 中心是一个简单的 CA 可以完成签发证书请求等功能 打开 RG WALL VPN CA 中心 选择菜单 证书管理 中的 导入证书请求 导入后列表中出现导入证书请求 选择 证书管理 中的 生成证书 选择有效期 如 10 年 输入 CA 密码后 RG WALL 默认 CA 证书中心的 CA 私钥口令是 firewall RG WALL VPN CA 中心将利用 CA 私钥将签发选择的证书请求 签发成 功后 选择 导出证书 将证书导出 然后就可以在 RG WALL1600 安全 网关或 VPN 客户端上导入 1 12 PPTP L2TP 远程访问远程访问 VPN 配置方法配置方法 PPTP 和 L2TP 是二层隧道的协议 为远程主机通过 VPN 网关访问企业内部网络提供链路 RG WALL1600 安全网关可以配置为 PPTP L2TP VPN 网关 远程主机就可以通过 Microsoft Windows 98 2000 XP 2003 四种操作系统使用 PPTP 和 L2TP 连接企业内部网络 配置安全网关为配置安全网关为 PPTP L2TP VPN 网关网关 在安全网关的 VPN 基本配置中启用 PPTP L2TP 服务 添加远程拨号用户后 远程主机就可以通过 Microsoft Windows 98 2000 XP 2003 四种操作系统使用 PPTP 和 L2TP 连接企业内部网络 如何配置安全网关为 PPTP L2TP VPN 网关 可以参考 锐捷网络 RG WALL1600 安全网关 WEB 界面手册 中 VPN 配置一章 下面叙述如何在 Windows 的各平台上配置 PPTP L2TP 远程访问 Windows 98 操作系统操作系统 Windows 98 平台缺省支持 PPTP 但不支持 L2TP 添加虚拟专用网络适配器 右键单击 网上邻居 选择 属性 查看是否安装了 Microsoft 虚拟专用 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 22 网络适配器 网络组件 如果没有 单击 添加 选择 适配器 选择厂商 microsoft 网络适配器 Microsoft 虚拟专用网络适配器 建立拨号连接 进入 拨号网络 双击 建立新连接 输入对方计算机名称 RG WALL 选择设备 Microsoft VPN Adapter 单击 下一步 输入 PPTP VPN 网关的 IP 地址 Windows 2000 XP 2003 操作系统操作系统 由于 Windows 缺省将 L2TP 和 IPSec 捆绑使用 但 Windows 2000 XP 配置使用 IPSec 非常复杂而 且各不相同 为了简化配置 修改注册表将 L2TP 和 IPSec 拆分 在 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services RasMan Parameters 下添加 DWORD 项 ProhibitIpSec 修改其值为 1 在 Windows 的网络与拨号连接中新建网络连接 选择 连接到专用网络 在 Windows 2003 中是 连 接到我工作场所的网络 然后选择 虚拟专用网络连接 为此连接命名 可以随意命名 如企业名称 然后输入 PPTP L2TP VPN 网关的地址 这就完成了一个 VPN 远程访问连接的创建 现在就可以输入用户名 密码进行 PPTP L2TP VPN 拨号了 用户名 密码在 PPTP L2TP VPN 网 关上设置 如果 PPTP L2TP VPN 网关的配置与 Microsoft Windows 的默认配置不同 那么就需要进行高级配 置 您需要在 网络连接 中打开这个 VPN 网络连接的属性界面 协议选择 相比 PPTP 来说 L2TP 是一种更广泛的二层封装协议 但是就远程访问 VPN 来说 他 们两者完成的功能一样 所以可以不配置协议 使用 Windows 的自动选择功能 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 23 PPTP L2TP VPN 网络连接的协议选择 安全属性配置 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 24 PPTP L2TP VPN 网络连接的加密属性配置 加密选项 如果您在 PPTP L2TP VPN 网关设置的加密选项为 低 那么请在此处不选择 要求数据 加密 没有就断开 在使用加密的情况下 建议使用 PPTP L2TP VPN 网关的 高 选项 认证选项 在安全设置的 高级 自定义设置 中可以设置认证选项 网御防火墙支持 CHAP MS CHAP 与 MS CHAP V2 CHAP 是一种口令保护的认证协议 MS CHAP 与 MS CHAP V2 是 Microsoft 对 CHAP 的一种扩充 一般来说防火墙可以配置为支持全部三种认证选项 Windows 的远程访问 VPN 使用任意一种即可 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 25 PPTP L2TP VPN 网络连接的认证属性配置 1 13 动态域名动态域名 1 13 1 使用动态域名的动态使用动态域名的动态 RG WALL1600 防火墙防火墙 对于动态获取 IP 地址的 RG WALL1600 防火墙 可在远程网关的配置中指定完全合 格的域名 FQDN 例如 互联网服务提供商 ISP 有可能通过 PPPOE 或 DHCP 将 IP 地址分配给客户 ISP 从大型地址池提取地址 并在客户联机时分配这些地址 尽管 RG WALL1600 安全网关拥有不变的 FQDN 但其 IP 地址的更改无法预测 RG WALL1600 安全网关可使维护从 FQDN 到动态分配的 IP 地址的 域名服务 DNS 映射 此过程称为动态 DNS 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 26 1 13 2 如何注册如何注册 3322 org 的动态域名的动态域名 您可以使用以下步骤注册域名或者登陆 www 3322 org 网站阅读使用帮助 1 登陆 www 3322 org 点击 用户注册 或者 新用户注册 在用户注册界面 输入您要注册的用户信息 然后提交注册 2 以您注册的用户名登陆后 可以管理域名 添加自己申请的域名 添加方法 是在管理域名界面左边的 动态 dns 页面中 使用 新建 超链接 1 14 常见问题常见问题 1 14 1 VPN 不响应远程的密钥协商请求 不响应远程的密钥协商请求 在远程 VPN 连接 RG WALL1600 防火墙之前 您必须添加一条策略 允许远程地址到 RG WALL1600 防火墙的 IKE 服务通过 1 14 2 VPN 的代理的代理 ID 配置 配置 两个 VPN 的代理 ID 必须匹配 这意味着两个对等方的代理 ID 中指定的网络相同 并且为一个对等方指定的本地 IP 地址与为另一个对等方指定的远程 IP 地址相同 确保代理 ID 匹配的最简单的方法是使用 0 0 0 0 0 作为本地地址 使用 0 0 0 0 0 作 为远程地址 RG WALL VPN 不是使用代理 ID 进行访问控制 而是使用策略对进出 VPN 的信息流进行控制 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 27 第二章第二章 高可用性高可用性 2 1 VRRP 简介简介 2 1 1 VRRP 意义意义 如图所示 一般用户的主机通过配置默认网关来实现与外部网络的访问 内部网络上的所有主机都配置了一个默认网关 是 10 100 10 1 由路由器将报文转发 出去 这样 主机发出的目的地址不在本网段的报文将通过路由器发往 Internet 从而实现 了主机与外部网络的通信 然而 一旦路由器出现故障 主机将与外界失去联系 陷入孤 立的境地 仅仅在网络上多加一台路由器并不能解决问题 大多数主机只允许配置一个默 认网关 而且不管网络上存在多少个路由器 对于目标是其他网络的报文 主机只能使用 已经配置好的那个默认网关 VRRP 虚拟路由冗余协议就是针对上述备份问题而提出 消除静态缺省路由环境中所 固有的缺陷 它不需要改变组网情况 配置简单 对主机无任何运行负担 实现了主机默认 网关的备份 锐捷网络防火墙典型功能使用手册锐捷网络防火墙典型功能使用手册 28 2 1 2 VRRP 简介简介 VRRP Virtu