IR915与深信服AF1000建立IPSecVPN配置举例

在防火墙与IR915之间建立一个安全隧道，对客户路由器端设备子网（192.168.33.0/24），与防火墙端服务器子网（172.16.99.0/24）之间的数据流进行安全保护。安全协议采用ESP，加密算法采用3DES，认证算法采用MD5，组网拓扑图如图1所示：

图 1

组网环境：

l AF1000：具有公网地址1.202.89.94；

l IR915：使用SIM卡拨号上网，获得非公网IP；

l 服务器端设备均在172.16.99.0/24这一网段，IR915下联设备均在192.168.33.0/24这一网段；

l 基本的上网配置均已配置完成，本次实验只需配置IPSecVPN。

配置步骤：

1. 配置深信服防火墙

第一步：点击导航栏“网络>>IPSecVPN>>DLAN运行状态”，开启VPN服务，如图2所示：

图 2

第二步：点击导航栏“第三方对接管理>>新增第三方设备”，如图3所示，进入VPN配置界面：

图 3

第三步：选择“基础配置”，进入配置界面配置如图4所示参数：（对端设备地址类型选择动态IP，预共享密钥与路由器端配置要一致）

图 4

第四步：点击图3界面内的“新增”，增加加密数据流，配置参数如图5所示：

图 5

第五步：选择“IKE配置”，进入IKE配置界面，对端IP地址非固定公网地址，故选择野蛮模式，域字符串两端输入一致（IR915配置时会自动添加@符号，这里不要添加），配置参数如图6所示：

图 6

第六步：配置第一阶段加密算法和认证算法，配置参数如图7所示：

图 7

第七步：选择IPSec配置，配置参数如图8所示，然后点击提交按钮：

图 8

2. 配置IR915

第一步：点击导航栏“网络>>拨号接口”，查看当前设备拨号接口运行状态是否正常，如图9所示：

图 9

第二步：点击导航栏“VPN>>IPSec”，选择IPSec配置，配置参数如图10所示：（IKE策略内配置与深信服防火墙的第一阶段安全策略配置和DH配置保证完全一致，IPSec策略内的配置与深信服防火墙加密数据流内的第二阶段安全提议配置完全一致）

图 10

第三步：点击图10中“IPSec隧道”配置下的“新增”按钮，进入IPSec隧道配置界面，配置参数如图11所示：

图 11

3. 结果验证

深信服：查看DLAN相关日志可以看到隧道建立过程如图12所示，点击“DLAN运行状态”可以看到新建VPN正常运行，如图13所示：

图 12

图 13

IR915：点击导航栏“VPN>>IPSec”，在“状态”页面可以看到如图14所示信息：

图 14