目录
实验
让两台pc通过ipsec互通:
vpn设备(fw5)在内网(关键是出网的时候要跟nat适配,所以模式有主模式和野蛮模式,选野蛮模式才能通过nat。协议有AH、ESP,用esp。然后封装有传输模式(有伪头部校验,esp又会加密四层,所以校验会失败)、隧道模式,选隧道模式(新加了ip头,所以nat改ip、校验都无妨))
物理接口配置
vpn设备(fw5)连到交换机了,但不属于生成和办公,所以再创建一个vlan,并且防火墙再创建一个子接口。(备设备(dw2)也要配子接口,保证主备的接口配置情况一致,但本次实验不考虑主备,只用fw1)
然后就是在fw5上添加ip指向网关,在fw1上添加子接口。这是fw5的:
隧道建立
建立ipsec-vpn
要在fw5和fw3上做:
fw5:
ID不能用ip,这里随便写一个,只要能跟对方对应上就行。
然后抓取感兴趣数据流:
高级里面高级里面修改为v2、野蛮模式、隧道模式。nat-t已经默认开启了
fw3上类似,对应上就行
nat配置
nat放通:因为fw1在这里只充当传流量的作用,所以要做目标、源、和服务器映射(把fw5映射出来)
nat策略就展示了,服务器映射需要新建两个,分别是500端口和4500端口:
安全策略
fw5、fw1、fw3这三台都要做安全策略
fw3放通500和4500 L U
fw5放通500和4500 L U
fw1只是帮传的,放通500和4500,因为fw5在fw1上的子接口是trust区域,所以放通T和U
fw5和fw3新建服务为ike,端口是udp的500和4500,策略为允许 :
fw1上除了区域不同,其他一样也是放通:
然后隧道就完成了
流量放通
fw5和fw3上都放通双向的 l u 的esp流量,其实在做策略的时候就可以直接加上的;
fw1上也是要放通esp,跟安全策略匹配的,区域是电信到trust。
现在esp的流量已经放通了,在fw5和fw3上拆开esp的隧道封装以后还需要做一个放通策略:放通两个网段的流量,这样才能进到网段里。
fw3和fw5都做这个配置:
在fw1上把上述流量的通过的策略都放通 :
现在流量就放通了
路由
现在办公pc通分公司pc的流量是直接走fw1,并没有走vpn设备,所以不能通。我们要做路由让流量先走到vpn设备上走隧道才行。
所以在fw1上写一条静态路由:这样流量就会先走到fw1上,然后丢到fw5上进行封装(注意这是两个区域,做安全策略要放通区域),然后走缺省找网关发给fw1,然后fw1又走缺省走网关就出去了 。
最后应该就能ping通了。
排错
1.先把默认策略全放通判断是不是策略。
2.抓包
易错点:
1.做过策略路由可能会导致最后的静态路由失效。
2.转发流量的时候可能涉及到区域。安全策略要针对区域放通才行。
扫一扫
1563
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
