IPSECVPN主模式对接SonicWall
一、网络拓扑结构:
二、SonicWall配置:
1、配置内网需要访问vpn或者被vpn访问的网段(相对于我们自己的本地子网列表)
点Network->AddressObjects,然后可以看到右边有AddressGroups和AddressObjects,看到AddressObjects下面的【Add…】点一下,如下图:
SANGFOR提升带宽价值
Name-命名;ZoneAssignment-选择接口,这里选择VPN,表示数据要进入vpn接口;Type-类型,有Network、Range等可选项,与我们设备对接选择Network;Network-内网网段的网络号;Netmask-该网段的掩码。配置完成后点【OK】。如果内网有多个网段需要使用vpn,可以进行汇总,不方便汇总,就要添加多条。
当各个网段添加完成之后,要设置一个组,点【AddGroup…】,然后会弹出一个配置页面:
SANGFOR提升带宽价值
Name-命名;左边的白色的框框里面显示的是您刚刚建立好的Objects,选择所需要的Object点【->】添加到右边,点【OK】,就可以将您所有要访问vpn的内网网段放到一个组里面了。
2、设置标准IPSECVPN
点击vpn->Settings,出现如下页面:
首先要勾选EnableVPN用来启用VPN服务,UniqueFirewallIdentifier就是给这个VPN节点命名,随便起一个就行了,我们的第三方对接的参数设置和这个没关系,不用理它做什么用的(应该是自己的VPN吧)。
在CurrentlyActiveVPNTunnels可以看到当前连接好的VPN状态。然后在VPNPolicies点【Add..】,添加一条标准IPSEC的VPN对接,界面入下:
SANGFOR提升带宽价值
1)General:AuthenticationMethod-认证模式,选择IKEusingPresharedSecret;Name-给该策略命名;IpsecPrimaryGatewayNameorAddress-这里填写我们设备的公网IP地址,如1.1.1.1;Secondary-没有就填0.0.0.0,当我们的设备有多个公网IP的时候,可以填上另外一个做备份;SharedSecret-共享密钥,下面的是确认共享密钥,要启用的话注意要勾选MaskSharedSecret,下面的两个选项可以不填。
2)Network:localNetworks,选择第一个,然后选择LANPrimarySubnet(这个是自动生成的,只要设备配置了lan口就有这个选项);Destination
SANGFOR提升带宽价值
Networks,选择最后一个,下拉选项中选择您在上面配置的那个Group的名字。
3)两边的选项都选择成一样的就可以了
4)要勾选EnableKeepAlive用来激活该策略,后面的各个选项根据用户需
SANGFOR求去勾选就可以了。
提升带宽价值
三、SANGFORVPN配置:
1、设备列表
根据上图的参数在SANGFORVPN设备VPN模块下的第三方对接设备列表中进行设置,如下图:
2、安全选项
3、出站策略
SANGFOR4、入站策略
提升带宽价值
本端内网网段
对端内网网段
因篇幅问题不能全部显示,请点此查看更多更全内容