飞塔防火墙相关配置和命令

IPSec建立

网络
对等体状态探测：空闲
高级-添加路由：禁用（拨号连接务必禁用）

IKEv1
认证
IKE版本：1
预共享密钥
模式：野蛮
访问类型：特定对等体ID
对等体ID（其中一端WAN动态IP时填写，对端填写本地ID）
阶段 1 提案填写的本地ID保持一致
本地ID（其中一端WAN动态IP时填写，对端填写对等体ID）

阶段2
本地地址 子网 0.0.0.0/0
对端地址 子网 0.0.0.0/0
阶段 2 提案
自动协商/自动密钥保持存活

IKEv2
认证
IKE版本：2
预共享密钥
对等体选项（对端拨号连接时出现此配置）
访问类型：特定对等体ID（与对端在阶段 1 提案填写的本地ID保持一致）
阶段2与IKE v1相同

增加防火墙策略，IPSec to LAN、LAN to IPSec

未增加防火墙策略，在debug时会报错

ike 0:HLLG_HLZQ: ignoring request to establish IPsec SA, no policy configured

手动配置静态路由，远程地址 to IPSec、远程地址 to 黑洞（管理距离254）

手动配置 IPSec端点IP

部署VXLAN

VXLAN需要在IPSec连接上建立，需要先将防火墙间IPSec连接部署完成

创建VXLAN接口

config system vxlan
    edit "vxlan"   //VXLAN接口名称
        set interface "ipsec"   //IPSec隧道名称
        set vni 10   //vxlan标识符，有多个VXLAN接口时不可重复，且隧道两端VXLAN接口vni需保持一致
        set remote-ip "10.200.0.2"   //IPSec隧道对端地址
    next
end

在核心交换机准备Trunk口，设置VXLAN放行VLAN，并且与防火墙网口接通

将VXLAN接口与交换机Trunk口进行连接
有两种方案，虚拟线对和虚拟交换机

一、虚拟线对
1. 在网络-接口中创建虚拟线对。成员选择创建的VXLAN接口和与交换机Trunk连接的网口；通配符VLAN，用来限制通过的VLAN，避免出现冲突，可以与Trunk放行VLAN一致

2. 策略&对象-防火墙虚拟线对，创建防火墙策略。选择所有的虚拟线对、源地址、目标地址、服务选择all、动作接受、不启用NAT

到这一步已经完成了基于虚拟线对的VXLAN部署

测试VXLAN通讯是否正常，如果部分应用层协议不正常，例如SSH执行命令后卡住，SFTP无法连接，抓包发现出现类似以下的错误

170 Server: [TCP Previous segment not captured]
[TCP Dup ACK 1223#1] 64911 → 22 [ACK] Seq=2755 Ack=3545 Win=262656 Len=0 SLE=6465 SRE=6581

需要调整虚拟线对防火墙策略，限制MSS
config firewall policy，找到策略ID，然后edit #策略ID#

set tcp-mss-sender 1330
set tcp-mss-receiver 1330

MSS可以自行调整测试，直到应用层工作正常

虚拟线对的缺点
1. 每个虚拟线对只能配置一个物理接口和一个VXLAN接口
2. 应用层协议工作不正常，需要调整MSS
3. 流量经过VXLAN后如果访问飞塔防火墙，会出现不可达，这样就无法让VXLAN网段下的主机通过飞塔防火墙访问外网

二、虚拟交换机
创建虚拟交换机

config system switch-interface
    edit vswitch
        set vdom root
        set member port2 vxlan_int
    next
end

vswitch是虚拟机交换机的名称
port2是交换机Trunk连接的网口，vxlan_int是VXLAN接口，理论上可以虚拟机交换机可以连接多个VXLAN接口，但要注意不要出现环路

到这一步已经完成了基于虚拟交换机的VXLAN部署

PS：官方建议的配置中，还有一行set intra-switch-policy explicit
加了这个配置后，必须要创建防火墙放行策略，设置流入接口、流出接口、源地址、目标地址。而且因为流量是双向的，所以需要创建两条方向相反的策略，代表去程和回程

常用命令

查看路由表
get router info routing-table all

开启SCP

config system global
set admin-scp enable
end

修改IKE端口
默认端口是UDP 500

config system settings
set ike-port 6000
end

排错：查看流量走向

diagnose debug flow filter addr 192.168.0.1
diagnose debug flow trace start 20
diagnose debug enable

排错结束后

diagnose debug reset
diagnose debug disable

排错：IPSec

diagnose vpn ike log-filter clear
diagnose vpn ike log-filter dst-addr4 192.168.0.1
diagnose debug app ike 255
diagnose debug enable

排错结束后

diagnose debug reset
diagnose debug disable

或者

diagnose vpn tunnel list
diagnose vpn ike gateway list
diagnose vpn ike gateway list name LDWAN2_HBWAN1