对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本主题告诉您如何定义手动 BOVPN 隧道。
本主题不会详细说明 BOVPN 对话框中的不同设置以及它们如何影响现有的隧道。 如果您希望了解有关特定设置的更多信息,请参阅:
要创建手动 BOVPN 隧道,您必须首先收集 IP 地址并确定端点的设置。 为了帮助您进行配置,您可以打印本文档,记下或标明您需要使用的值,随后在您配置 Policy Manager 中的设置时参考这些内容。
在此主题中,两个端点都必须有静态外部 IP 地址。
有关连接到使用动态外部 IP 地址的设备的 BOVPN 隧道的信息,请参阅定义网关端点。
如果您只是两台设备中一台的管理员,您可以把此表交给另一位管理员,以确保他/她为第 1 阶段和第 2 阶段设置使用的值与您所用的完全相同。
确保您正确配置 VPN 端点,且两台设备的第 1 阶段和第 2 阶段设置相同。 如果设置不匹配则不能建立隧道。
如果某个设置未显示在此列表中,请不要更改其默认值。
站点 A(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: ______________________________
专用 IP 地址: _____________________________
站点 B(使用 Edge v10.x 的 Firebox X Edge e-Series)
公用 IP 地址: ______________________________
专用 IP 地址: _____________________________
我们建议您选择“IKE 保持活动”或“Dead Peer Detection (RFC3706)”。 不要同时选择两者。 如果两台端点设备都支持“Dead Peer Detection”,请选择该设置。 如果两个端点都是 Firebox 或 XTM 设备但是其中一个不支持“Dead Peer Detection”,请选择“IKE 保持活动”。 IKE 保持活动仅被用于 Firebox 或 XTM 设备。 如果其中一个端点是第三方设备,请不要选择“IKE 保持活动”。
凭据方法: 选择“使用预共享的密钥”。
模式(选择一个): 主模式____ 攻击性模式____
预共享的密钥: ______________________________
NAT 穿越: 是 ____ 否 ____
NAT 穿越保持活动间隔: ________________
IKE 保持活动: 是 ____ 否 ____
IKE 保持活动消息间隔: ________________
IKE 保持活动最大失败数: ________________
Dead Peer Detection (RFC3706): 是 ____ 否 ____
Dead Peer Detection 流量闲置超时: ________________
Dead Peer Detection 最大重试次数: ________________
身份验证算法(选择一个): SHA1____ MD5____
加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____
SA 有效期 ________________
选择用“小时”作为 SA 有效期的单位。
Diffie-Hellman 组(选择一个): 1____ 2____ 5____
类型: AH ____ ESP ____
身份验证算法(选择一个): 无____ MD5____ SHA1____
加密算法(选择一个): DES____ 3DES____ AES-128____ AES-192____ AES-256____
强制密钥过期(选择一个): 启用____ 禁用____
Perfect Forward Secrecy(Diffie-Hellman 组): 禁用____ 组 1____ 组 2____ 组 5____
第 2 阶段密钥到期时间(小时)
第 2 阶段密钥到期时间(千字节)
本页面中的字段与前一页面中的字段完全相同,但是其中填写了示例设置。 这些设置与本文档所用屏幕截图中所显示的设置相对应。
站点 A(使用 Fireware XTM v11.x 的 XTM 设备)
公用 IP 地址: 50.50.50.50
专用网络 IP 地址: 10.0.50.1/24
站点 B(使用 Edge v10.x 的 Firebox X Edge e-Series)
公用 IP 地址: 100.100.100.100
专用网络 IP 地址: 192.168.100.1/24
凭据方法: 选择“使用预共享的密钥”。
模式(选择一个): 主模式
预共享的密钥: SiteA2SiteB
NAT 穿越: 是
NAT 穿越保持活动间隔: 20 秒
IKE 保持活动: 否
IKE 保持活动消息间隔:无
IKE 保持活动最大失败数:无
Dead Peer Detection (RFC3706): 是
Dead Peer Detection 流量闲置超时: 20 秒
Dead Peer Detection 最大重试次数: 5
身份验证算法(选择一个): SHA1
加密算法(选择一个): 3DES
SA 有效期: 8
选择用“小时”作为 SA 有效期的单位。
Diffie-Hellman 组(选择一个): 2
类型: 封装安全负载 (ESP)
身份验证算法(选择一个): SHA1
加密算法(选择一个): AES(256 位)
强制密钥过期(选择一个): 启用
Perfect Forward Secrecy(Diffie-Hellman 组): 禁用
第 2 阶段密钥到期时间(小时): 8
第 2 阶段密钥到期时间(千字节): 128000
如果您使用 WSM 11.x 版和 Edge 10.2.2 或更高版本,则第 1 阶段和第 2 阶段设置示例与默认设置相同。 此外,这些示例也与 WSM 10.2.2 及更高版本的默认设置相同。 但是,它们与 WSM 或 Edge 软件任何其他版本的设置都不相同。
添加 VPN 网关:
在 IPSec 连接的第 1 阶段中,两个对等方建立一个经过身份验证的安全通道以用于通信。 这称为 ISAKMP 安全性关联 (SA)。
对于 XTM 设备和 Edge v10.2.2 或更高版本之间的 BOVPN 隧道,我们建议您选择“NAT 穿越”和“Dead Peer Detection”。
定义网关后,您就可以在这些网关之间创建隧道。 创建隧道时您必须指定:
添加 VPN 隧道:
这些策略允许与隧道路由匹配的所有流量。 如果要限制通过隧道的流量,请清除此复选框,并使用 BOVPN 策略向导为允许通过此隧道的各类型流量创建策略。
第二阶段设置包括安全性关联 (SA) 的设置,它定义了当数据包在两个端点之间传递时,如何对其加以保护。 SA 保留所有必要的信息,使 XTM 设备知道它应该如何对端点之间的流量进行处理。
站点 A 的 XTM 设备现在已配置完毕。
您现在要配置拥有 Firebox X Edge 的站点的网关。
要连接至“系统状态”页面,请在浏览器地址栏中输入 https:// 以及
要在没有连接通过 VPN 隧道时使其保持打开状态,可以将隧道另一端的计算机 IP 地址用作回应主机。 Firebox X Edge 每分钟发送一个 ping 到指定的主机。 使用始终在线并且可以响应 ping 消息的主机 IP 地址。 您也可以使用多个 IP 地址,以便 Firebox X Edge 通过不同的隧道向多个主机发送 ping。
站点 B 的 Firebox X Edge 现已完成配置。
在隧道的两端都配置完成后,隧道会打开且流量会通过隧道。 如果隧道不工作,请检查 XTM 设备和 Firebox X Edge 上您尝试启用隧道的时间段内的日志文件。 日志文件中有日志消息,这些消息可以指示故障在配置中的位置,以及哪些设置可能出现问题。 您也可以使用 Firebox System Manager 或在 Edge 的“日志记录”页面上实时查看 XTM 设备的日志消息。