如何配置 NETGEAR ProSafe.docx

如何配置 NETGEAR ProSafe.docx

《如何配置 NETGEAR ProSafe.docx》由会员分享，可在线阅读，更多相关《如何配置 NETGEAR ProSafe.docx（26页珍藏版）》请在冰点文库上搜索。

如何配置NETGEARProSafe

如何配置 NETGEARProSafe™VPN 产品

与CiscoPIX515 通过 IPSECVPN 互连

1．实验目的

随着NETGEAR的快速发展，越来越多的用户将性能价格比较好的NETGEAR的产品作为以后网络扩展的重点选择之一，但是需要考虑到与原来环境中的网络产品是否具备兼容性的问题，本文就NETGEAR的VPN网络产品与第三方的网络产品的对接的配置方面进行详细描述。

NETGEAR的VPN网络产品与众多厂家兼容，其中包括CISCO、NETSCREEN、FORTIGATE、SONICWALL等著名厂商的VPN网络产品，本文就以CISCO的PIX515作为例子进行阐述。

本问适用于NETGEAR的产品包括：

FVS114/FWG114P/FVS318v3/FVS124G/FVS328/FVL328/FVS338/FVX538

与NETSCREEN、FORTIGATE、SONICWALL配置可以参考：

2．实验环境:

2．1．VPN网络拓扑结构图:

此实验中，我们以CISCOPIX515作为VPN的中心设备，各分之机构分别采用NETGEAR的FVS318V3，FVS124G，FVS338，FVX538，FVS114；

TOP

2．2．中心VPN设备PIX515基本端口信息：

PIX515LAN口IP地址：

192.168.1.1/255.255.255.0

PIX515WAN口IP地址：

58.62.221.131/255.255.255.248,网关：

58.62.221.129

2．3．各分之NETGEARVPN设备端口信息：

产品型号

内网

外网

FVS114

LANIP：

192.168.0.1/255.255.255.0

WANIP：

ADSL动态获取公网IP

FVX538

LANIP：

192.168.2.1/255.255.255.0

WANIP：

ADSL动态获取公网IP

FVS338

LANIP：

192.168.3.1/255.255.255.0

WANIP：

ADSL动态获取公网IP

FVS124G

LANIP：

192.168.4.1/255.255.255.0

WANIP：

ADSL动态获取公网IP

FVS318v3

LANIP：

192.168.5.1/255.255.255.0

WANIP：

ADSL动态获取公网IP

3．中心VPN设备CISCOPIX515配置

3．1．配置PIX515的基本信息

PIX515的configure模式下,输入setup即开始配置pix515的基本信息，如InsideIP地址、hostname、Domainname等信息，如下图所示：

留意上红圈的内容，在NETGEAR的VPN配置中需要用到。

TOP

3．2．配置PIX515的NAT并实现访问Internet

1）.在PIX515系统默认情况下ethernet0是属外部网卡outside,ethernet1是属内部网卡inside,inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活：

pix515e（config）#interfaceethernet0auto

pix515e（config）#interfaceethernet1auto

2）采用命令nameif定义outside和inside安全级别:

pix515e（config）#nameifethernet0outsidesecurity0

pix515e（config）#nameifethernet0insidesecurity100

security0是外部端口outside的安全级别

security100是内部端口inside的安全级别

3）配置外网口IP地址：

pix515e（config）#ipaddressoutside58.62.221.131255.255.255.248

4）实现NAT地址转换：

pix515e（config）#Global（outside）1interface

pix515e（config）#nat（inside）1192.168.1.0255.255.255.0

5）允许ping命令的操作：

pix515e（config）#conduitpermiticmpanyany

6）添加缺省静由

pix515e（config）#routeoutside0.0.0.00.0.0.058.62.221.129

如下图所示：

TOP

3．3．配置ISAKMPPolicy（配置IKE的policy）

1）在外部接口上启用ISAKMP策略。

pix515e（config）#isakmpenableoutside

2）定义编号为9的ISAKMP策略，认证方式使用预共享密钥:

Pre-ShareKey

pix515e（config）#isakmppolicy9authenticationpre-share

3）针对分支机构的动态公有IP，配置ISAKMP预共享密钥，如12345678，0.0.0.0表示适合于所有的公有IP地址。

（注：

如果对方是静态的IP则直接替换即可，但是则不需要用到下列说明的动态map了，而是要使用静态map）

pix515e（config）#isakmpkey12345678address0.0.0.0netmask0.0.0.0

4）对于编号为9的ISAKMP策略的加密算法使用3des（注：

可更改，与分支对应即可）

pix515e（config）#isakmppolicy9encryption3des

5）对于编号为9的ISAKMP策略的hash完整性算法使用md5（注：

可更改，与分支对应即可）

pix515e（config）#isakmppolicy9hashmd5

6）对于编号为9的ISAKMP策略，密钥交换组DH（Diffie-Hellman）长度为group1

（注:

group1提供768位的密钥生成资料,可更改，与分支对应即可；该协议会决定IPsec节点为IPsec连接的第二阶段建立彼此使用的临时会话钥匙的方法）

pix515e（config）#isakmppolicy9group1

如下图所示：

TOP

3．4．配置加密IPSectransforms-set集合和AccessList列表

1）定义加密ipsec的名字为netgear的transform-set集合，采用3des加密算法和sha完整性算法

pix515e（config）#cryptoipsectransform-setnetgearesp-3desesp-sha-hmac

2）定义中心LAN与各分支LAN之间的访问列表（编号为90）

access-list90permitip192.168.1.0255.255.255.0192.168.0.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.2.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.3.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.4.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.5.0255.255.255.0

3）通过VPN传输的数据包不需要做NAT，因此，将这些数据包定义到nat0，nat0不对数据包进行地址转换,nat0的处理优先始终在其他nat（例如nat1、nat2、nat3……）之前。

对于刚才定义的90号访问列表不做NAT转换

pix515e（config）#nat（inside）0access-list90

如下图所示：

TOP

3．5．设置加密动态map

由于分支机构的公网IP随时回变动，因此动态的对应加密必须具备在中心的VPN设备上：

1）定义名称为tofvs318，编号为10的加密动态map并匹配于90号access-list

（注：

如果对方VPN公有IP是静态的IP则可使用静态map）

pix515e（config）#cryptodynamic-maptofvs31810matchaddress90

2）对于第10号加密动态map，在IPSEC第二阶段使用PFS，DH长度为group2（1024）

{注：

使用PFS（PerfectForwardSecrecy）来增加安全性，VPN通讯虽然慢点，但是它可以确保为每个IKE第二阶段（phase-II）进行DH交换；该项也为可选，需要和各分支机构对应}

pix515e（config）#cryptodynamic-maptofvs31810setpfsgroup2

3）第10号加密动态map归到名字为netgearIPSEC加密集合

pix515e（config）#cryptodynamic-maptofvs31810settransform-setnetgear

4）定义名字为mymap编号为200的静态加密map,将名字为tofvs318的动态加密map映射到静态加密mapmymap上.

pix515e（config）#cryptomapmymap200ipsec-isakmpdynamictofvs318

5）将静态加密map应用在外部接口上

pix515e（config）#cryptomapmymapinterfaceoutside

6、打开IPSec的绿色通道并保存配置

1）指定IPsec的流量是可信任的,即打开IPSec的绿色通道。

pix515e（config）#sysoptconnectionpermit-ipsec

2）保存配置

pix515e（config）#wrmem

如下图所示：

如果想清除所有配置，可以用命令：

’clearconfigall’如下

pix515e（config）#clearconfigall

TOP

7、PIX515配置：

pix515#showrun

Saved:

PIXVersion6.3（5）

interfaceethernet0auto

interfaceethernet1auto

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepassword8Ry2YjIyt7RRXU24encrypted

passwd2KFQnbNIdI.2KYOUencrypted

hostnamepix515

domain-name

fixupprotocoldnsmaximum-length512

fixupprotocolftp21

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolhttp80

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsip5060

fixupprotocolsipudp5060

fixupprotocolskinny2000

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocoltftp69

names

access-list90permitip192.168.1.0255.255.255.0192.168.0.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.2.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.3.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.4.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.5.0255.255.255.0

access-list90permitip192.168.1.0255.255.255.0192.168.6.0255.255.255.0

pagerlines24

mtuoutside1500

mtuinside1500

ipaddressoutside58.62.221.131255.255.255.248

ipaddressinside192.168.1.1255.255.255.0

ipauditinfoactionalarm

ipauditattackactionalarm

nofailover

failovertimeout0:

00:

00

failoverpoll15

nofailoveripaddressoutside

nofailoveripaddressinside

pdmhistoryenable

arptimeout14400

global（outside）1interface

nat（inside）0access-list90

nat（inside）1192.168.1.0255.255.255.000

conduitpermiticmpanyany

routeoutside0.0.0.00.0.0.058.62.221.1291

timeoutxlate3:

00:

00

timeoutconn1:

00:

00half-closed0:

10:

00udp0:

02:

00rpc0:

10:

00h2251:

00:

00

timeouth3230:

05:

00mgcp0:

05:

00sip0:

30:

00sip_media0:

02:

00

timeoutsip-disconnect0:

02:

00sip-invite0:

03:

00

timeoutuauth0:

05:

00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverTACACS+max-failed-attempts3

aaa-serverTACACS+deadtime10

aaa-serverRADIUSprotocolradius

aaa-serverRADIUSmax-failed-attempts3

aaa-serverRADIUSdeadtime10

aaa-serverLOCALprotocollocal

nosnmp-serverlocation

nosnmp-servercontact

snmp-servercommunitypublic

nosnmp-serverenabletraps

floodguardenable

sysoptconnectionpermit-ipsec

cryptoipsectransform-setnetgearesp-3desesp-sha-hmac

cryptodynamic-maptofvs31810matchaddress90

cryptodynamic-maptofvs31810setpfsgroup2

cryptodynamic-maptofvs31810settransform-setnetgear

cryptomapmymap200ipsec-isakmpdynamictofvs318

cryptomapmymapinterfaceoutside

isakmpenableoutside

isakmpkey********address0.0.0.0netmask0.0.0.0

isakmppolicy9authenticationpre-share

isakmppolicy9encryption3des

isakmppolicy9hashmd5

isakmppolicy9group1

isakmppolicy9lifetime86400

telnettimeout5

sshtimeout5

consoletimeout0

terminalwidth80

Cryptochecksum:

9c7fe2af17b050e7ecc7d4a1eb37012d

:

end

pix515#

TOP

4．分支机构各NETGEARVPN设备的配置

4．1．FVS114配置

1）创建IKEPolices

2）创建VPNPolices

TOP

4．2．FVX538配置

1）创建IKEPolices

2）创建VPNPolices

TOP

4．3．FVS338的配置

1）创建IKEPolices

同FVX538

2）创建VPNPolices

同FVX538，但是注意，LOCALIP为FVS338的LAN网络号即可。

4．4．FVS124G配置

1）创建IKEPolices

注：

红色圈内容需要与3.1章节定义的信息一致，参考3.1信息中红色圈部分内容;

2）创建VPNPolices

TOP

4．5．FVS318v3配置

1）创建IKEPolices

注：

红色圈内容需要与3.1章节定义的信息一致，参考3.1信息中红色圈部分内容;

2）创建VPNPolices

TOP

5．PIX515与FVS318v3点对点的配置

前面章节说明了以CISCOPIX515作为中心以固定IP接入INTERNET，各NETGEARVPN设备以普通ADSL线路接入INTERNET的配置方式。

该章节将描述双方都是固定公网IP的时候分别的配置方式。

5．1．VPN网络拓扑结构图：

5．2．PIX515配置：

pix515（config）#showrun

:

Saved

:

PIXVersion6.3（5）

interfaceethernet0auto

interfaceethernet1auto

nameifethernet0outsidesecurity0

nameifethernet1insidesecurity100

enablepassword8Ry2YjIyt7RRXU24encrypted

passwd2KFQnbNIdI.2KYOUencrypted

hostnamepix515

domain-name

fixupprotocoldnsmaximum-length512

fixupprotocolftp21

fixupprotocolh323h2251720

fixupprotocolh323ras1718-1719

fixupprotocolhttp80

fixupprotocolrsh514

fixupprotocolrtsp554

fixupprotocolsip5060

fixupprotocolsipudp5060

fixupprotocolskinny2000

fixupprotocolsmtp25

fixupprotocolsqlnet1521

fixupprotocoltftp69

names

access-list90permitip192.168.1.0255.255.255.0192.168.5.0255.255.255.0

pagerlines24

mtuoutside1500

mtuinside1500

ipaddressoutside58.62.221.131255.255.255.248

ipaddressinside192.168.1.1255.255.255.0

ipauditinfoactionalarm

ipauditattackactionalarm

nofailover

failovertimeout0:

00:

00

failoverpoll15

nofailoveripaddressoutside

nofailoveripaddressinside

pdmhistoryenable

arptimeout14400

global（outside）1interface

nat（inside）0access-list90

nat（inside）1192.168.1.0255.255.255.000

conduitpermiticmpanyany

routeoutside0.0.0.00.0.0.058.62.221.1291

timeoutxlate3:

00:

00

timeoutconn1:

00:

00half-closed0:

10:

00udp0:

02:

00rpc0:

10:

00h2251:

00:

00

timeouth3230:

05:

00mgcp0:

05:

00sip0:

30:

00sip_media0:

02:

00

timeoutsip-disconnect0:

02:

00sip-invite0:

03:

00

timeoutuauth0:

05:

00absolute

aaa-serverTACACS+protocoltacacs+

aaa-serverTACACS