防火墙配置——基于路由动态 IPSEC配置

思恒科技

科学服务教育

产品服务社会

导读:今天向大家介绍有关防火墙配置中“基于路由动态IPSEC”的内容,有需要的朋友可以收藏下!

一、网络拓扑

二、需求描述

防火墙FW-A具有合法的静态IP地址,防火墙FW-B外网为PPPOE动态获取IP地址 其中防火墙FW-A的内部保护子网为192.168.10.0/24,防火墙FW-B的内部保护子网为192.168.100.0/24。要求在FW-A与FW-B之间创建IPSec VPN,使两端的保护子网能通过VPN隧道互相访问。

三、配置步骤

首先看下FW-A防火墙的配置

第一步:创建IKE第一阶段提议

点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数,两台防火墙的IKE第一阶段协商内容需要一致。

第二步:创建IKE第二阶段提议

点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容,两台防火墙的第二 阶段协商内容需要一致。

第三步:创建对等体(peer)

在网络/IPSECVPN处,在VPN对端列表中新建对端,并定义相关参数。

第四步:创建隧道

点击网络/IPSECVPN处,IPSECVPN中创建到防火墙FW-B的VPN隧道,并定义相关参数。首先要导入创建好的对端。

第五步:创建隧道接口并与ipsec绑定

在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

第六步:添加隧道路由

在网络/路由/目的路由中新建一条路由,目的地址是对端加密保护子网,网关为创建的tunnel口。

第七步:添加安全策略

在创建安全策略前首先要创建本地网段和对端网段的地址簿,如下图:

在安全/策略中新建策略,允许本地VPN保护子网访问对端VPN保护子网。

允许对端VPN保护子网访问本地VPN保护子网。

关于FW-B防火墙的配置步骤与FW-A相似,以下是配置步骤:

• 第一步,创建IKE第一阶段提议

• 第二步,创建IKE第二阶段提议

• 第三步,创建VPN对端

• 第四步,创建IPSEC隧道

• 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口

• 第六步,添加隧道路由

• 第七步,添加安全策略

1

创建IKE第一阶段提议

点击网络/IPSECVPN 处P1 提议中定义IKE第一阶段的协商参数,两台防火墙的IKE第一阶段协商内容需要一致。

2

创建IKE第二阶段提议

点击网络/IPSEC VPN处P2提议中定义IKE第二阶段的协商内容,两台防火墙的第二 阶段协商内容需要一致。

3

创建对等体(peer)

在网络/IPSECVPN处,在VPN对端列表中新建对端,并定义相关参数。

4

创建隧道

点击网络/IPSECVPN处,IPSECVPN中创建到防火墙FW-B的VPN隧道,并定义相关参数。首先要导入创建好的对端。

5

创建隧道接口并与ipsec绑定

在网络连接中新建隧道接口指定安全域并绑定IPSEC隧道。

6

添加隧道路由

在网络/路由/目的路由中新建一条路由,目的地址是对端加密保护子网,网关为创建的tunnel口。

7

添加安全策略

在创建安全策略前首先要创建本地网段和对端网段的地址簿,如下图:

在安全/策略中新建策略,允许本地VPN保护子网访问对端VPN保护子网。

允许对端VPN保护子网访问本地VPN保护子网。

8

验证测试

查看防火墙FW-A上的IPSecVPN状态:

查看防火墙FW-B上的IPSecVPN状态:

注意事项:

1、需要ipsec隧道建立的条件必须要动态获取地址端触发。

2、tunnel接口地址设置,如果未设置,从一端局域网无法ping通另外一端防火墙内网口地 址;另外如果设置了tunnel地址,可以通过在防火墙A上ping防火墙B 的tunnel地址 来实现触发。

3、在IPSECVPN隧道中关于代理ID的概念,这个代理ID是指本地加密子网和对端加密 子网。如果两端都为神州数码多核防火墙该ID可以设置为自动;如果只是其中一端为多核墙,那必须要设置成手工。

4、如果防火墙一端为动态获取IP地址,设置VPN对端中使用野蛮模式。

构建全方位新型教育生态链,做数字智能教育综合管理平台

打造专业数字智能个性化教育平台,做教育全产业链综合运营商

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190510A0GVBY00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励