sonicwall 野蛮模式vpnWord文档格式.docx

1、一、 NSA3500配置，我们假设NSA3500有固定公网IP地址，NSA240没有固定公网IP1 点击配置界面中的VPN菜单，选Setting，出现如下的界面注意Enable VPN处于选择状态2 系统本身已经存在两个VPN策略，分别是针对VPNclient用户和Wlan无线用户的，我们需要再新建一条静态的VPN策略所以点击Add（新建）按钮3 出现下图的界面 我们现在配置的是Aggressive Mode（野蛮模式的VPN），所以在IPsec Primary Gateway Name or Address栏中输入对端的IP地址为0.0.0.0（因为不知道对端确切的IP），Shared Se

2、cret（共享密钥），是两台防火墙设备在进行IPsec的IKE协商时使用的密码，这个是在阶段一进行初始化时使用的（关于IPsec的具体过程，请参考相关文档）。两台设备的共享密钥必须一致才能协商成功。Local IKE ID和Peer IKE ID（本地ID和对端ID），是在野蛮模式下双方进行配置IPSec身份验证的凭证，因为我们现在使用野蛮模式，使用本地的ID为shanghai，对方的ID为beijing,IKE ID类型可以选择任意的类型，只要两端的设备的ID TYPE是匹配的就可以。SonicWALL Identifier对应的ISAKMP的ID Type在本例最后解释。4 接下来进入第二

3、个标签页这个页面主要是输入关于两端网络的地址信息，我们需要把作VPN的网段地址输进去，这个也是IPsec VPN参数的一部分，如果输入错误，IPsec隧道也无法建立起来，我们先输入本地网络地址，从下拉框中选新建地址对象（create new address object）（注：也可以直接在Network-Address Objects中建立）在接下来弹出的对话框中输入本地网段地址点击OK完成本地地址的输入，然后进行对端地址输入在输入对端地址的时候，要注意输入的区域选择（Zone Assignment），因为是要做VPN，所以对端的区域（Zone Assignment）要指定为VPN，另外因为我

4、们做的是网段之间的VPN隧道，在地址中一般使用网络（network）来建立。5 完成后如下图所示6 接下来设置第三个页面第三个页面中包含了进行IPsec协商时使用的加密方法、校验方法、SA存活时间等一系列的参数，这些参数都是建立IPsec VPN所必须的，因为篇幅问题，本文不对这些参数进行详细说明，但需要注意的是，两边设备间所设置的这些参数，必须一一对应，要完全一致，不然建立VPN时会出现Proposal不匹配的错误。7 第四个页面基本保持不变。在特别的情况下，需要进行一些参数选项设置，如VPN终结端口点击OK完成VPN设置。二远端NSA240配置：1VPN-Setting进入配置界面（参考一

5、（1） 2.点击新建（Add）进入配置界面 在新版本中，添加了Policy Type选项，选择Site to Site。 和NSA3500不同，网关IPsec Primary Gateway Name or Address处要输入总部的公网IP地址。共享密码（Shared Secret）和总部的密码是一致的，这里用sonicwall作密码。接下来到Network页面因为远程网络比较简单，只有一个网段地址，所以可以使用本地的预定义对象LAN primary Subnet作为本地对象（也可以自己定义一个本地的网络对象地址是172.16.2.0来作为这个选项的选择）。远程地址选择新建地址对象（cre

6、ate new address object）在地址栏中输入总部网络的地址段，注意区域选择是VPN，然后选择OK。完成后如下图：点击第三个标签页Proposal，保持各项参数和对端的一致。点击第四个标签页，基本不做修改点击OK，完成VPN设置。注意： ISAKMP 协商标准定义了11中IKE ID 的类型。 SonicWALL的设备中使用其中的三种。IP Address: 对应标准定义的ID_IPV4_ADDR, ID TYPE=1Domain Name: 对应到标准定义的 ID_FQDN, ID TYPE=2Email Address: 对应到ID_USER_FQDN， ID Type=3.

7、SonicWALL Identifier对应到ID_USER_FQDN， ID Type=3.Email address 和SonicWALL Identifier ID Type=3,就是方便用户自己设置字符串。野蛮模式ID 是没有加密的，抓包可以看到IKE ID的类型和字符串。下面抓包显示SonicWALL Identifier对应的ID Type=3，对应到ID_USER_FQDN。主模式的ID TYPE抓包看不到，因为主模式ID 是加密的。必须和对方设备管理员确认好ID 类型。和第三方的VPN 设备互通问题：有时你和对方VPN设备里的IKE ID设置的字符串完全相同，但是VPN隧道就是

8、不能建立，并说是IKE ID不匹配。其实问题就出在IKE ID本身还有类型。你必须知道对端设备的IKE ID 的类型，并把两个不同厂家的VPN 设备的野蛮模式的IKE ID 类型设置成一样的，才可以建立VPN隧道。野蛮模式，IKE ID SonicWALL使用了标准定义的前三种ID 类型。大部分厂家都支持这三种ID类型，所以只要两端的设备设置一样的ID 类型，字符串设置成一样的，互通基本没有问题。唯一的例外是和Juniper VPN的野蛮模式，Juniper要求IKE ID 的TYPE 3 必须有邮件符号， 写成邮件的形式，如vincent, 否则不能通。即使你设置的两端的IKE ID 相同。本人认为是一个人为设置的技术壁垒。不代表厂商的观点。