实验背景:FW1和FW2是双机热备 主备备份模式。
实验要求:在FW5和FW3之间建立一条IPSEC通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24
IPSEC VPPN实验配置(由于是双机热备状态,所以FW1和FW2只需要配置FW1主设备即可):
场景选用点到点,配置好FW1的出接口地址和对端FW3的接口地址,认证方式选用预共享密钥(密钥自己设置),身份认证选用IP地址。
1. FW1 IPSec策略配置
IKE参数配置:
IPSec参数:
2. FW2配置:
加密数据流配置
IKE参数配置与IPSec参数配置和FW1一样
然后去FW1安全策略里面放通IKE(UPD500)报文的策略,服务不仅要允许IKE的流量,也要允许IPSec加密流量ESP的放通,允许它从内网往外网发送。
3. 新建一个对应的IKE服务
FW3上进行同样的配置
新建IKE服务
查看IPSec策略,可以看见已经协商成功了
此时,内网的数据可以到达外网,但外网的数据在经过防火墙时,防火墙并不允许外网的流量进来。
4.再新建一个针对IPSec的数据流量的安全策略(FW1和FW2一样)
由于NAT地址转换是上游配置,而IPSec隧道是下游配置,一般流量出防火墙会先做NAT转换,但是做了NAT转换就不能进入IPSec隧道,所以需要在这新建一个NAT策略
FW1 NAT配置:
FW2 NAT配置:
由于NAT匹配策略是由上往下,所以这里要把IPSec的NAT策略放在上面。
