Branch Office VPN > Branch Office VPN 示例 > VPN 互操作性:Fireware XTM 到 Cisco ISR

VPN 互操作性: Fireware XTM 到 Cisco ISR

对于网络以及主机和网络的组合来说,Branch Office Virtual Private Network (BOVPN) 隧道是通过 Internet 交换数据的安全方式。 本文档说明如何定义 WatchGuard XTM 设备和 Cisco Integrated Services Router(在本示例中为 877 DSL​​ 调制解调器)之间的手动 BOVPN 隧道。 此配置假定已在每个设备的外部接口之间建立连接。 在此示例中,Cisco 设备配置为拆分隧道。

WatchGuard 提供互操作性说明,以帮助我们的客户配置 WatchGuard 产品,从而使其与其他组织创建的产品配合使用。 如果需要关于配置非 WatchGuard 产品的更多信息或技术支持,请参阅该产品的相关文档和支持资源。

收集 IP 地址和隧道设置

要创建手动 BOVPN 隧道,需要做的第一件事情就是收集 IP 地址并确定端点要使用的设置。

在此示例中,两个设备使用以下网络设置:

XTM 设备:

外部接口 IP 地址: 203.0.113.2

可信任网络 IP 地址: 192.168.20.0/24

Cisco ISR 设备:

外部接口 IP 地址: 198.51.100.2

专用网络 IP 地址: 192.168.1.0/24

在此示例中,两个端点都具有静态外部 IP 地址。 有关具有动态外部 IP 地址的设备的 Branch Office VPN 的信息,请参阅定义网关端点

此外,还需确定要使用的第 1 阶段和第 2 阶段设置。 在本示例中,在 XTM 设备上使用默认的第 1 阶段和第 2 阶段 VPN 配置设置。 然后,配置 Cisco ISR 设备上的 VPN 配置设置,以匹配 XTM 设备上的默认设置。

确保正确配置 VPN 端点,且两台设备的第 1 阶段和第 2 阶段设置相同。 如果这些设置不匹配,则不能创建隧道。

配置 XTM 设备

使用这些步骤配置 XTM 设备上的 Branch Office VPN 网关和隧道。

要添加 Branch Office VPN 网关:

  1. 选择“VPN” > “BOVPN”
    将显示 BOVPN 配置页面,其顶部为“网关”列表。
  2. “网关”部分中,单击“添加”
    将显示“网关”页面。
  1. 在“网关名称”文本框中,输入一个名称以便在 Policy Manager 中标识此网关。
  2. 键入“预共享密钥”。 必须使用配置 Cisco ISR 设备时使用的同一个密钥。
  3. “网关端点”部分中,单击“添加”

    将显示“新建网关端点设置”对话框。
  1. “本地网关”部分中,键入 XTM 设备的外部 IP 地址。
    在本示例中,本地网关 IP 地址为 203.0.113.2。
  2. “本地网关”部分中,从“外部接口”下拉列表选择要使用的外部接口。
  3. “远程网关”部分中,在两个“IP 地址”文本框中键入 Cisco ISR 设备的外部 IP 地址。
    在本示例中,远程网关 IP 地址为 198.51.100.2。
  4. 单击“确定”添加网关端点设置。
  5. 单击“保存”保存新网关。
    “网关”列表中将显示新网关。

然后添加 Branch Office VPN 隧道:

  1. “隧道”部分中,单击“添加”
    将显示“隧道”页面。
  1. “隧道名称”文本框中输入隧道的名称。
  2. 从“网关”下拉列表中选择刚创建的网关。
  3. “地址”选项卡上,单击“添加”以添加新的隧道路由。
    将显示“隧道路由设置”对话框。
  1. 要在每个站点上的专用网络之间创建隧道路由:
  1. 单击“确定”添加新的隧道路由。
  2. 单击“保存”添加新的隧道。

保存隧道时,Fireware XTM 会自动添加两个新策略:BOVPN-Allow.outBOVPN-Allow.in

配置 Cisco ISR 设备

使用这些步骤设置 Cisco ISR 设备上的 VPN 网关和隧道。

  1. 登录到 Cisco CLI 启用模式,并进入配置模式 (conf t)。
  2. 如有必要,修改用于 NAT 的访问列表,以防止转换 VPN 流量:

Router(config)#ip access-list extended NAT_ACL

Router(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255

Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any

Router(config-ext-nacl)#end

Router#conf t

Router(config)#ip nat inside source list NAT_ACL interface Dialer0 overload(将 Dialer0 替换为连接到 Internet 的接口)

  1. 配置第 1 阶段设置。

Router(config)#crypto isakmp policy 1

Router(config-isakmp)#encryption 3des

Router(config-isakmp)#group 2

Router(config-isakmp)#hash sha

Router(config-isakmp)#authentication pre-share

Router(config-isakmp)#end

Router#conf t

Router(config)#crypto isakmp key 0 Password1! address 203.0.113.2

  1. 配置第 2 阶段设置。

Router(config)#crypto ipsec transform-set vpn esp-aes 256 esp-sha-hmac

Router(config)#crypto map towatchguard 1 ipsec-isakmp

Router(config-crypto-map)#description tunnel_to_watchguard

Router(config-crypto-map)#set peer 203.0.113.2

Router(config-crypto-map)#set security-association lifetime kilobytes 1280000

Router(config-crypto-map)#set security-association lifetime seconds 86400

Router(config-crypto-map)#set transform-set vpn

Router(config-crypto-map)#match address 100(记得创建 access-list 100)

Router(config-crypto-map)#reverse-route

  1. 添加访问列表 100:

Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255

  1. 向接口添加 VPN:

Router(config)#interface Dialer0(将 Dialer0 替换为连接到 Internet 的接口)

Router(config-if)#crypto map vpn

  1. 将配置保存到 Cisco (write mem)

对 VPN 隧道进行故障排除

要对 Cisco 设备中的 VPN 连接进行故障排除,可在 Cisco CLI 中使用以下命令:

Router#clear crypto sessions(手动重置 SA)

Router#debug crypto isakmp

Router#debug crypto ipsec

要对 XTM 设备中的 VPN 隧道进行故障排除,可以运行 VPN 诊断报告。

有关详细信息,请参阅使用 VPN 诊断报告

提供反馈  •   获得支持  •   全部产品文件  •   知识库