DCN多核防火墙IPSec_VPN(site-to-site)配置.ppt

神州数码网络 神州数码网络 神州数码网络 DCN多核防火墙快速配置之 IPSec VPN（静态IP Site-to-Site） 神州数码网络 案例描述 神州数码网络 * Eth0/0:1/24 Zone:trust Eth0/1:21/29 Zone:untrust Internet 注：该案例假设防火墙已完成了基本的上网配置 网络拓扑 Network:/24 FW-A FW-B Eth0/1:78/29 Zone:untrust Network:/24 Eth0/0:1/24 Zone:trust IPSec VPN Tunnel 需求描述 防火墙FW-A和FW-B都具有合法的静态IP地址 其中防火墙FW-A的内部保护子网为/24 防火墙FW-B的内部保护子网为/24。 要求在FW-A与FW-B之间创建IPSec VPN，使两端的保护子网能通过VPN隧道互相访问。 神州数码网络 * 防火墙FW-A的配置步骤 本案例采用“预共享密钥认证”机制 创建IKE第一阶段提议 创建IKE第二阶段提议 创建对等体（peer） 创建隧道 创建隧道接口，并将创建好的隧道绑定到接口 添加隧道路由 添加安全策略 神州数码网络 * 创建IKE第一阶段提议 定义IKE第一阶段的协商内容，两台防火墙的IKE第一阶段协商内容需要一致。 神州数码网络 * 定义采用“预共享密钥”的认证方式 创建IKE第二阶段提议 定义IKE第二阶段的协商内容，两台防火墙的第二阶段协商内容需要一致。 神州数码网络 * 最多可以提交3种验证算法，但只要其中一种协商成功即可 最多可以提交4种加密算法，但只要其中一种协商成功即可 PFS(完美向前必威体育官网网址）该例中设置不开启，两台防火墙需要一直 创建对等体（peer） 创建“对等体”对象，并定义对等体的相关参数 神州数码网络 * 选择用来建立IPSec VPN的接口 两台防火墙都使用静态合法IP建立VPN的我们一般选用“主模式” 对端防火墙的合法IP地址 可以最多引用4组IKE第一阶段提议，只要其中一组协商成功即可 输入两端用来认证的预共享密钥，长度6-32字节 使用数字证书认证方式才需要填写“信任域” ? bidirectional – 指定该ISAKMP 网关既是发起端也是响应端。该选项为系统的默认选项。 ? initiator-only – 指定该ISAKMP 网关仅是发起端。 ? responder-only – 指定该ISAKMP网关仅是响应端。 DPD是VPN隧道探测功能，若开启两端防火墙的设置需要一致。 创建隧道 创建到防火墙FW-B的VPN隧道，并定义相关参数。 神州数码网络 * IKE 隧道指定操作模式，目前仅支持tunnel模式 引用创建好的Peer对象 引用IKE第二阶段提议 VPN隧道两端的设备都是终结者防火墙的情况下，代理ID可选择“自动” 创建隧道接口 创建隧道接口，并将创建好的IPSec隧道与其绑定 神州数码网络 * 隧道接口的命名只能是数字1-128之间 将隧道接口与untrust安全域绑定，或者也可以为隧道接口单独创建一个新的安全域并与之绑定 将已创建好的IPSec 隧道绑定到该接口 接口IP不需填写 添加隧道路由 在路由表中添加目的地为对端保护子网的路由，该路由的下一跳为隧道接口tunnel1。 神州数码网络 * 目的网段是对端VPN网关的保护子网 该路由的下一跳选择隧道接口tunnel1，表明去往上面的目的网段是通过这条VPN隧道转发的 添加安全策略 – 定义地址对象 在添加安全策略之前先定义好表示两端保护子网的地址对象 神州数码网络 * 添加安全策略 添加安全策略，允许本地VPN保护子网访问对端VPN保护子网 神州数码网络 * 添加安全策略 添加安全策略，允许对端VPN保护子网访问本地VPN保护子网 神州数码网络 * 神州数码网络 * 防火墙FW-B的配置步骤 FW-B防火墙上的配置步骤与FW-A相同，不同的是某些步骤中的参数设置 创建IKE第一阶段提议 创建IKE第二阶段提议 创建对等体（peer） 创建隧道 创建隧道接口，并将创建好的隧道绑定到接口 添加隧道路由 添加安全策略 创建IKE第一阶段提议 神州数码网络 * 创建IKE第二阶段提议 神州数码网络 * 创建对等体（peer） 神州数码网络 * 创建隧道 神州数码网络 * 创建隧道接口 神州数码网络 * 添加隧道路由 神州数码网络 * 添加安全策略 – 定义地址对象 神州数码网络 * 添加安全策略 添加安全策略，允许本地VPN保护子网访问对端VPN保护子网 神州数码网络 *