路由器与防火墙构建IPsecVPN指南

一、网络拓扑

在防火墙与ORB305之间建立一个安全隧道，对客户路由器端设备子网（192.168.2.0/24），与防火墙端服务器子网（172.16.99.0/24）之间的数据流进行安全保护。安全协议采用ESP，加密算法采用3DES，认证算法采用MD5，组网拓扑图如图所示。

二、SSG5防火墙端配置指导

(此处以多数客户使用专线上网形式为例)

1、前防火墙配置登录用户名和密码：netscreen/netscreen

设置WAN接口

编辑“ethernet0/0”接口

设置LAN接口编辑“bgroup0”

设置DNS

设置DHCP

点击编辑“broup0”

设置路由

IPSEC VPN 1建立tunuls Network-interface-list

点击NEW

2 IPSec配置2.1建立IPSecvpn第一阶段VPNsAutokeyAdvancedGateway

2.2建立IPSecvpn第二阶段vpnsautokeyike

3建立安全策略

3.1TRUST---UNTRUST选择fromTRUSTtoUNTRUST如果对于新的地址段，则可以选择“NEW Address”方式添加源地址填写防火墙内网地址，目的地址填写无线路由器内网地址

3.2UNTRUST---TRUST

4建立路由Network=routering-destination

三、ORB305路由器端配置指导

1、将SIM卡插入路由器卡槽

2、给设备上电，登入路由器web页面（默认为192.168.2.1）

3、进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级，保存配置

4、对应SIM卡拨号成功，当前链路变为绿色

5、进入网络→VPN→IPsec界面进行路由器（IPsec VPN客户端）配置

保存并应用配置后即可进入状态→VPN页面看到IPsec VPN状态为已连接