对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本文档说明如何定义 WatchGuard XTM 设备和 Cisco Integrated Services Router(在本示例中为 877 DSL 调制解调器)之间的手动 BOVPN 隧道。 此配置假定已在每个设备的外部接口之间建立连接。 在此示例中,Cisco 设备配置为拆分隧道。
WatchGuard 提供互操作性说明,以帮助我们的客户配置 WatchGuard 产品,从而使其与其他组织创建的产品配合使用。 如果需要关于配置非 WatchGuard 产品的更多信息或技术支持,请参阅该产品的相关文档和支持资源。
要创建手动 BOVPN 隧道,需要做的第一件事情就是收集 IP 地址并确定端点要使用的设置。
在此示例中,两个设备使用以下网络设置:
XTM 设备:
外部接口 IP 地址: 203.0.113.2
可信任网络 IP 地址: 192.168.20.0/24
Cisco ISR 设备:
外部接口 IP 地址: 198.51.100.2
专用网络 IP 地址: 192.168.1.0/24
在此示例中,两个端点都具有静态外部 IP 地址。 有关具有动态外部 IP 地址的设备的 Branch Office VPN 的信息,请参阅定义网关端点。
此外,还需确定要使用的第 1 阶段和第 2 阶段设置。 在本示例中,在 XTM 设备上使用默认的第 1 阶段和第 2 阶段 VPN 配置设置。 然后,配置 Cisco ISR 设备上的 VPN 配置设置,以匹配 XTM 设备上的默认设置。
确保正确配置 VPN 端点,且两台设备的第 1 阶段和第 2 阶段设置相同。 如果这些设置不匹配,则不能创建隧道。
使用这些步骤配置 XTM 设备上的 Branch Office VPN 网关和隧道。
要添加 Branch Office VPN 网关:
然后添加 Branch Office VPN 隧道:
保存隧道时,Fireware XTM 会自动添加两个新策略:BOVPN-Allow.out 和 BOVPN-Allow.in。
使用这些步骤设置 Cisco ISR 设备上的 VPN 网关和隧道。
Router(config)#ip access-list extended NAT_ACL
Router(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255
Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
Router(config-ext-nacl)#end
Router#conf t
Router(config)#ip nat inside source list NAT_ACL interface Dialer0 overload(将 Dialer0 替换为连接到 Internet 的接口)
Router(config)#crypto isakmp policy 1
Router(config-isakmp)#encryption 3des
Router(config-isakmp)#group 2
Router(config-isakmp)#hash sha
Router(config-isakmp)#authentication pre-share
Router(config-isakmp)#end
Router#conf t
Router(config)#crypto isakmp key 0 Password1! address 203.0.113.2
Router(config)#crypto ipsec transform-set vpn esp-aes 256 esp-sha-hmac
Router(config)#crypto map towatchguard 1 ipsec-isakmp
Router(config-crypto-map)#description tunnel_to_watchguard
Router(config-crypto-map)#set peer 203.0.113.2
Router(config-crypto-map)#set security-association lifetime kilobytes 1280000
Router(config-crypto-map)#set security-association lifetime seconds 86400
Router(config-crypto-map)#set transform-set vpn
Router(config-crypto-map)#match address 100(记得创建 access-list 100)
Router(config-crypto-map)#reverse-route
Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255
Router(config)#interface Dialer0(将 Dialer0 替换为连接到 Internet 的接口)
Router(config-if)#crypto map vpn
要对 Cisco 设备中的 VPN 连接进行故障排除,可在 Cisco CLI 中使用以下命令:
Router#clear crypto sessions(手动重置 SA)
Router#debug crypto isakmp
Router#debug crypto ipsec
要对 XTM 设备中的 VPN 隧道进行故障排除,可以运行 VPN 诊断报告。
有关详细信息,请参阅使用 VPN 诊断报告