防火墙配置——基于路由动态 IPSEC配置

思恒科技

科学服务教育

产品服务社会

导读：今天向大家介绍有关防火墙配置中“基于路由动态IPSEC”的内容，有需要的朋友可以收藏下！

一、网络拓扑

二、需求描述

防火墙FW-A具有合法的静态IP地址，防火墙FW-B外网为PPPOE动态获取IP地址 其中防火墙FW-A的内部保护子网为192.168.10.0/24，防火墙FW-B的内部保护子网为192.168.100.0/24。要求在FW-A与FW-B之间创建IPSec VPN，使两端的保护子网能通过VPN隧道互相访问。

三、配置步骤

首先看下FW-A防火墙的配置

第一步：创建IKE第一阶段提议

点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数，两台防火墙的IKE第一阶段协商内容需要一致。

第二步：创建IKE第二阶段提议

点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容，两台防火墙的第二 阶段协商内容需要一致。

第三步：创建对等体（peer）

在网络/IPSECVPN处，在VPN对端列表中新建对端，并定义相关参数。

第四步：创建隧道

点击网络/IPSECVPN处，IPSECVPN中创建到防火墙FW-B的VPN隧道，并定义相关参数。首先要导入创建好的对端。

第五步：创建隧道接口并与ipsec绑定

在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

第六步：添加隧道路由

在网络/路由/目的路由中新建一条路由，目的地址是对端加密保护子网，网关为创建的tunnel口。

第七步：添加安全策略

在创建安全策略前首先要创建本地网段和对端网段的地址簿，如下图：

在安全/策略中新建策略，允许本地VPN保护子网访问对端VPN保护子网。

允许对端VPN保护子网访问本地VPN保护子网。

关于FW-B防火墙的配置步骤与FW-A相似，以下是配置步骤：

• 第一步，创建IKE第一阶段提议

• 第二步，创建IKE第二阶段提议

• 第三步，创建VPN对端

• 第四步，创建IPSEC隧道

• 第五步，创建隧道接口，指定安全域，并将创建好的隧道绑定到接口

• 第六步，添加隧道路由

• 第七步，添加安全策略

1

创建IKE第一阶段提议

点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数，两台防火墙的IKE第一阶段协商内容需要一致。

2

创建IKE第二阶段提议

点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容，两台防火墙的第二 阶段协商内容需要一致。

3

创建对等体（peer）

在网络/IPSECVPN处，在VPN对端列表中新建对端，并定义相关参数。

4

创建隧道

点击网络/IPSECVPN处，IPSECVPN中创建到防火墙FW-B的VPN隧道，并定义相关参数。首先要导入创建好的对端。

5

创建隧道接口并与ipsec绑定

在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

6

添加隧道路由

在网络/路由/目的路由中新建一条路由，目的地址是对端加密保护子网，网关为创建的tunnel口。

7

添加安全策略

在创建安全策略前首先要创建本地网段和对端网段的地址簿，如下图：

在安全/策略中新建策略，允许本地VPN保护子网访问对端VPN保护子网。

允许对端VPN保护子网访问本地VPN保护子网。

8

验证测试

查看防火墙FW-A上的IPSecVPN状态：

查看防火墙FW-B上的IPSecVPN状态：

注意事项：

1、需要ipsec隧道建立的条件必须要动态获取地址端触发。

2、tunnel接口地址设置，如果未设置，从一端局域网无法ping通另外一端防火墙内网口地 址；另外如果设置了tunnel地址，可以通过在防火墙A上ping防火墙B 的tunnel地址 来实现触发。

3、在IPSECVPN隧道中关于代理ID的概念，这个代理ID是指本地加密子网和对端加密 子网。如果两端都为神州数码多核防火墙该ID可以设置为自动；如果只是其中一端为多核墙，那必须要设置成手工。

4、如果防火墙一端为动态获取IP地址，设置VPN对端中使用野蛮模式。

构建全方位新型教育生态链，做数字智能教育综合管理平台

打造专业数字智能个性化教育平台，做教育全产业链综合运营商