如何配置 NETGEAR ProSafe.docx
《如何配置 NETGEAR ProSafe.docx》由会员分享,可在线阅读,更多相关《如何配置 NETGEAR ProSafe.docx(26页珍藏版)》请在冰豆网上搜索。
如何配置NETGEARProSafe
如何配置 NETGEARProSafe™VPN 产品
与CiscoPIX515 通过 IPSECVPN 互连
1.实验目的
随着NETGEAR的快速发展,越来越多的用户将性能价格比较好的NETGEAR的产品作为以后网络扩展的重点选择之一,但是需要考虑到与原来环境中的网络产品是否具备兼容性的问题,本文就NETGEAR的VPN网络产品与第三方的网络产品的对接的配置方面进行详细描述。
NETGEAR的VPN网络产品与众多厂家兼容,其中包括CISCO、NETSCREEN、FORTIGATE、SONICWALL等著名厂商的VPN网络产品,本文就以CISCO的PIX515作为例子进行阐述。
本问适用于NETGEAR的产品包括:
FVS114/FWG114P/FVS318v3/FVS124G/FVS328/FVL328/FVS338/FVX538
与NETSCREEN、FORTIGATE、SONICWALL配置可以参考:
2.实验环境:
2.1.VPN网络拓扑结构图:
此实验中,我们以CISCOPIX515作为VPN的中心设备,各分之机构分别采用NETGEAR的FVS318V3,FVS124G,FVS338,FVX538,FVS114;
TOP
2.2.中心VPN设备PIX515基本端口信息:
PIX515LAN口IP地址:
192.168.1.1/255.255.255.0
PIX515WAN口IP地址:
58.62.221.131/255.255.255.248,网关:
58.62.221.129
2.3.各分之NETGEARVPN设备端口信息:
产品型号
内网
外网
FVS114
LANIP:
192.168.0.1/255.255.255.0
WANIP:
ADSL动态获取公网IP
FVX538
LANIP:
192.168.2.1/255.255.255.0
WANIP:
ADSL动态获取公网IP
FVS338
LANIP:
192.168.3.1/255.255.255.0
WANIP:
ADSL动态获取公网IP
FVS124G
LANIP:
192.168.4.1/255.255.255.0
WANIP:
ADSL动态获取公网IP
FVS318v3
LANIP:
192.168.5.1/255.255.255.0
WANIP:
ADSL动态获取公网IP
3.中心VPN设备CISCOPIX515配置
3.1.配置PIX515的基本信息
PIX515的configure模式下,输入setup即开始配置pix515的基本信息,如InsideIP地址、hostname、Domainname等信息,如下图所示:
留意上红圈的内容,在NETGEAR的VPN配置中需要用到。
TOP
3.2.配置PIX515的NAT并实现访问Internet
1).在PIX515系统默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活:
pix515e(config)#interfaceethernet0auto
pix515e(config)#interfaceethernet1auto
2)采用命令nameif定义outside和inside安全级别:
pix515e(config)#nameifethernet0outsidesecurity0
pix515e(config)#nameifethernet0insidesecurity100
security0是外部端口outside的安全级别
security100是内部端口inside的安全级别
3)配置外网口IP地址:
pix515e(config)#ipaddressoutside58.62.221.131255.255.255.248
4)实现NAT地址转换:
pix515e(config)#Global(outside)1interface
pix515e(config)#nat(inside)1192.168.1.0255.255.255.0
5)允许ping命令的操作:
pix515e(config)#conduitpermiticmpanyany
6)添加缺省静由
pix515e(config)#routeoutside0.0.0.00.0.0.058.62.221.129
如下图所示:
TOP
3.3.配置ISAKMPPolicy(配置IKE的policy)
1)在外部接口上启用ISAKMP策略。
pix515e(config)#isakmpenableoutside
2)定义编号为9的ISAKMP策略,认证方式使用预共享密钥:
Pre-ShareKey
pix515e(config)#isakmppolicy9authenticationpre-share
3)针对分支机构的动态公有IP,配置ISAKMP预共享密钥,如12345678,0.0.0.0表示适合于所有的公有IP地址。
(注:
如果对方是静态的IP则直接替换即可,但是则不需要用到下列说明的动态map了,而是要使用静态map)
pix515e(config)#isakmpkey12345678address0.0.0.0netmask0.0.0.0
4)对于编号为9的ISAKMP策略的加密算法使用3des(注:
可更改,与分支对应即可)
pix515e(config)#isakmppolicy9encryption3des
5)对于编号为9的ISAKMP策略的hash完整性算法使用md5(注:
可更改,与分支对应即可)
pix515e(config)#isakmppolicy9hashmd5
6)对于编号为9的ISAKMP策略,密钥交换组DH(Diffie-Hellman)长度为group1
(注:
group1提供768位的密钥生成资料,可更改,与分支对应即可;该协议会决定IPsec节点为IPsec连接的第二阶段建立彼此使用的临时会话钥匙的方法)
pix515e(config)#isakmppolicy9group1
如下图所示:
TOP
3.4.配置加密IPSectransforms-set集合和AccessList列表
1)定义加密ipsec的名字为netgear的transform-set集合,采用3des加密算法和sha完整性算法
pix515e(config)#cryptoipsectransform-setnetgearesp-3desesp-sha-hmac
2)定义中心LAN与各分支LAN之间的访问列表(编号为90)
access-list90permitip192.168.1.0255.255.255.0192.168.0.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.2.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.3.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.4.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.5.0255.255.255.0
3)通过VPN传输的数据包不需要做NAT,因此,将这些数据包定义到nat0,nat0不对数据包进行地址转换,nat0的处理优先始终在其他nat(例如nat1、nat2、nat3……)之前。
对于刚才定义的90号访问列表不做NAT转换
pix515e(config)#nat(inside)0access-list90
如下图所示:
TOP
3.5.设置加密动态map
由于分支机构的公网IP随时回变动,因此动态的对应加密必须具备在中心的VPN设备上:
1)定义名称为tofvs318,编号为10的加密动态map并匹配于90号access-list
(注:
如果对方VPN公有IP是静态的IP则可使用静态map)
pix515e(config)#cryptodynamic-maptofvs31810matchaddress90
2)对于第10号加密动态map,在IPSEC第二阶段使用PFS,DH长度为group2(1024)
{注:
使用PFS(PerfectForwardSecrecy)来增加安全性,VPN通讯虽然慢点,但是它可以确保为每个IKE第二阶段(phase-II)进行DH交换;该项也为可选,需要和各分支机构对应}
pix515e(config)#cryptodynamic-maptofvs31810setpfsgroup2
3)第10号加密动态map归到名字为netgearIPSEC加密集合
pix515e(config)#cryptodynamic-maptofvs31810settransform-setnetgear
4)定义名字为mymap编号为200的静态加密map,将名字为tofvs318的动态加密map映射到静态加密mapmymap上.
pix515e(config)#cryptomapmymap200ipsec-isakmpdynamictofvs318
5)将静态加密map应用在外部接口上
pix515e(config)#cryptomapmymapinterfaceoutside
6、打开IPSec的绿色通道并保存配置
1)指定IPsec的流量是可信任的,即打开IPSec的绿色通道。
pix515e(config)#sysoptconnectionpermit-ipsec
2)保存配置
pix515e(config)#wrmem
如下图所示:
如果想清除所有配置,可以用命令:
’clearconfigall’如下
pix515e(config)#clearconfigall
TOP
7、PIX515配置:
pix515#showrun
Saved:
PIXVersion6.3(5)
interfaceethernet0auto
interfaceethernet1auto
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
enablepassword8Ry2YjIyt7RRXU24encrypted
passwd2KFQnbNIdI.2KYOUencrypted
hostnamepix515
domain-name
fixupprotocoldnsmaximum-length512
fixupprotocolftp21
fixupprotocolh323h2251720
fixupprotocolh323ras1718-1719
fixupprotocolhttp80
fixupprotocolrsh514
fixupprotocolrtsp554
fixupprotocolsip5060
fixupprotocolsipudp5060
fixupprotocolskinny2000
fixupprotocolsmtp25
fixupprotocolsqlnet1521
fixupprotocoltftp69
names
access-list90permitip192.168.1.0255.255.255.0192.168.0.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.2.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.3.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.4.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.5.0255.255.255.0
access-list90permitip192.168.1.0255.255.255.0192.168.6.0255.255.255.0
pagerlines24
mtuoutside1500
mtuinside1500
ipaddressoutside58.62.221.131255.255.255.248
ipaddressinside192.168.1.1255.255.255.0
ipauditinfoactionalarm
ipauditattackactionalarm
nofailover
failovertimeout0:
00:
00
failoverpoll15
nofailoveripaddressoutside
nofailoveripaddressinside
pdmhistoryenable
arptimeout14400
global(outside)1interface
nat(inside)0access-list90
nat(inside)1192.168.1.0255.255.255.000
conduitpermiticmpanyany
routeoutside0.0.0.00.0.0.058.62.221.1291
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00rpc0:
10:
00h2251:
00:
00
timeouth3230:
05:
00mgcp0:
05:
00sip0:
30:
00sip_media0:
02:
00
timeoutsip-disconnect0:
02:
00sip-invite0:
03:
00
timeoutuauth0:
05:
00absolute
aaa-serverTACACS+protocoltacacs+
aaa-serverTACACS+max-failed-attempts3
aaa-serverTACACS+deadtime10
aaa-serverRADIUSprotocolradius
aaa-serverRADIUSmax-failed-attempts3
aaa-serverRADIUSdeadtime10
aaa-serverLOCALprotocollocal
nosnmp-serverlocation
nosnmp-servercontact
snmp-servercommunitypublic
nosnmp-serverenabletraps
floodguardenable
sysoptconnectionpermit-ipsec
cryptoipsectransform-setnetgearesp-3desesp-sha-hmac
cryptodynamic-maptofvs31810matchaddress90
cryptodynamic-maptofvs31810setpfsgroup2
cryptodynamic-maptofvs31810settransform-setnetgear
cryptomapmymap200ipsec-isakmpdynamictofvs318
cryptomapmymapinterfaceoutside
isakmpenableoutside
isakmpkey********address0.0.0.0netmask0.0.0.0
isakmppolicy9authenticationpre-share
isakmppolicy9encryption3des
isakmppolicy9hashmd5
isakmppolicy9group1
isakmppolicy9lifetime86400
telnettimeout5
sshtimeout5
consoletimeout0
terminalwidth80
Cryptochecksum:
9c7fe2af17b050e7ecc7d4a1eb37012d
:
end
pix515#
TOP
4.分支机构各NETGEARVPN设备的配置
4.1.FVS114配置
1)创建IKEPolices
2)创建VPNPolices
TOP
4.2.FVX538配置
1)创建IKEPolices
2)创建VPNPolices
TOP
4.3.FVS338的配置
1)创建IKEPolices
同FVX538
2)创建VPNPolices
同FVX538,但是注意,LOCALIP为FVS338的LAN网络号即可。
4.4.FVS124G配置
1)创建IKEPolices
注:
红色圈内容需要与3.1章节定义的信息一致,参考3.1信息中红色圈部分内容;
2)创建VPNPolices
TOP
4.5.FVS318v3配置
1)创建IKEPolices
注:
红色圈内容需要与3.1章节定义的信息一致,参考3.1信息中红色圈部分内容;
2)创建VPNPolices
TOP
5.PIX515与FVS318v3点对点的配置
前面章节说明了以CISCOPIX515作为中心以固定IP接入INTERNET,各NETGEARVPN设备以普通ADSL线路接入INTERNET的配置方式。
该章节将描述双方都是固定公网IP的时候分别的配置方式。
5.1.VPN网络拓扑结构图:
5.2.PIX515配置:
pix515(config)#showrun
:
Saved
:
PIXVersion6.3(5)
interfaceethernet0auto
interfaceethernet1auto
nameifethernet0outsidesecurity0
nameifethernet1insidesecurity100
enablepassword8Ry2YjIyt7RRXU24encrypted
passwd2KFQnbNIdI.2KYOUencrypted
hostnamepix515
domain-name
fixupprotocoldnsmaximum-length512
fixupprotocolftp21
fixupprotocolh323h2251720
fixupprotocolh323ras1718-1719
fixupprotocolhttp80
fixupprotocolrsh514
fixupprotocolrtsp554
fixupprotocolsip5060
fixupprotocolsipudp5060
fixupprotocolskinny2000
fixupprotocolsmtp25
fixupprotocolsqlnet1521
fixupprotocoltftp69
names
access-list90permitip192.168.1.0255.255.255.0192.168.5.0255.255.255.0
pagerlines24
mtuoutside1500
mtuinside1500
ipaddressoutside58.62.221.131255.255.255.248
ipaddressinside192.168.1.1255.255.255.0
ipauditinfoactionalarm
ipauditattackactionalarm
nofailover
failovertimeout0:
00:
00
failoverpoll15
nofailoveripaddressoutside
nofailoveripaddressinside
pdmhistoryenable
arptimeout14400
global(outside)1interface
nat(inside)0access-list90
nat(inside)1192.168.1.0255.255.255.000
conduitpermiticmpanyany
routeoutside0.0.0.00.0.0.058.62.221.1291
timeoutxlate3:
00:
00
timeoutconn1:
00:
00half-closed0:
10:
00udp0:
02:
00rpc0:
10:
00h2251:
00:
00
timeouth3230:
05:
00mgcp0:
05:
00sip0:
30:
00sip_media0:
02:
00
timeoutsip-disconnect0:
02:
00sip-invite0:
03:
00
timeoutuauth0:
05:
00absolute
aaa-serverTACACS+protocoltacacs+
aaa-serverTACACS