背景:公司办公区的网关防火使用的是飞塔防火墙,公司IDC机房使用的juniper SSG550M防火墙,现在想在办公网和机房生产网中间创建一条ipsec ***用于公司用户访问机房网络,公司网段为192.168.0.0/20,机房网段为10.10.0.0/21。


IPSEC介绍:ipsec-***也分路由模式和策略模式。我们这里分别介绍策略模式和路由模式。

俩者有哪些不同的地方呢?对俩者ipsec-***的实现原理过程解释:

①基于策略的IPsec ×××:通过防火墙策略将数据丢进×××隧道

②基于路由的IPsec ×××: 在防火墙上建立虚拟接口tunnel接口,设置到对端的数据丢进这个tunne接口中,再有IPsec ×××进行加密

俩者ipsec-***的区别:

基于策略的IPsce ×××可以再网关部署和透明部署的防火墙上建立,基于策略的IPsec***建立后,在×××隧道中仅能传输单播数据;

基于接口的IPsec ×××只能在网关模式下施工部署,不可以在透明模式下部署,相对于策略模式IPsec ***优点在于:基于路由IPsec***可在×××隧道中传组播应用,如动态路由等协议。


策略模式×××配置步骤

一、飞塔防火墙配置

IKE第一阶段配置,基础配置也没有什么好讲的,上来配置好名称,对端公网ip地址,选择接口,模式,认证方式,秘钥等。

高级选项中有些选项是必须与对端一致的。重点需要注意以下几项:

  1. 阶段1中的加密算法和认证算法必须配置两端的防火墙一致。

  2. DH组必须一致(IKE DH (Diffie-Hellman) 组,秘钥交换算法。DH group 1 (768-bit)、DH group 2 (1024-bit)、DH group 5 (1536-bit))

  3. 秘钥周期必须一致

  4. NAT穿越开启(如果使用NAT的话,一定要开启这个功能)

以下选项也建议开启:

  1. DBD状态监测开启


wKioL1jcyh2xjBPbAACpqkEKoHQ256.png

wKiom1jcyh6BOdT1AACd-CzQXgo748.png

IKE第二阶段配置,阶段2的加密算法和认证算法也必须和对端保持一致,DH组和秘钥周期也要配置一致。这里重点说一下快速模式选择器:

有关流量的匹配规则是在防火墙策略里配置的,为什么还需要在ipsec第二阶段里在定义一次网段信息呢??

原因是,可以配置多个阶段2对应一个阶段1。

①再有多个阶段2存在的情况下,用来识别和引导流量到合适的阶段2中

   》允许对不同的LAN设置不同颗粒的的SA,安全级别不同

   》×××流量如果不匹配选择器将被丢弃

②在点对点的***中,两端选择器的配置必须正好相反

   》其中一段的源IP必须是另一端的目的IP

wKiom1jcyh_CUhf0AACeDr_3_pg005.png

配置防火墙策略:配置本地子网到对端子网的放