1.因为FW1和FW2已处于双机热备状态,所以只需要对主设备进行配置即可。进入FW1的配置界面,选择“网络”界面,点击“IPsec”,进行IPsec通道的基本配置,这里选择的是“电信”链路。
2.完成上述配置后,进行待加密数据流的新建,具体地址根据要求填入。
3.继续向下,安全提议部分基本不用修改
FW3上的配置与FW1基本一致,只需要将IPsec基本配置中的本端地址与对端地址交换、将待加密数据流的源地址和目的地址交换即可,这里就不再赘述。
4.跳转至安全策略创建界面
5.点击“新建”以创建IKE服务
6.完成后点击确定即可
FW3上的配置同理
7.由于公网数码无法直接通过防火墙,因此还需要在FW1和FW3上额外为IPsec配置一条安全策略
8.进行NAT转换后,数据流量无法进入到IPsec通道,因此在FW1这里新建一条NAT策略,不做NAT转换。
FW3上的配置也差不多,只需要把目的安全区域换成untrust,然后再把FW1上配置的源地址和目标地址交换即可。
9.最后,选中配置好的NAT策略,将其移至顶部,使其优先级最高,即可完成配置
