一、场景:
多分支机构与总部互联,拓扑大致为Hub-Spoke的模式。
各个分部通过IPsecVPN接入总部,总部为固定IP,分部为ADSL或者固定IP。
二、问题描述:
在建立IPsec VPN的时候,总部也就是响应方IP地址是固定的,而分部也就是发起方IP地址是动态的,每次拨号获得的IP地址都不同,发起方可以指定响应方的IP地址,可是响应方无法指定发起方的IP地址;发起方必须指定路由,而响应方的路由是与发起方相关的,因为无法指定发起方的IP,所以也无法指定路由。不过有个替代方法那就是响应方在协商过程中,动态识别发起方,并接受发起方的路由。这种方法可以简化响应方的设置,不需要为每个发起方制定IPsec策略。
三、配置方法
3.1 固定IP to 固定IP
3.1.1 应用场景
公司或分部或数据中心,距离远,但两点之间需要经常进行安全的通迅,防火墙与防火墙之间建立IPsec实现该需求,本例是两端都是固定IP的情况防火墙的配置。
3.1.2 总部防火墙配置步骤
①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
②定义名称
选择Template type为 【自定义】点击【下一步】。
③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。
⑧配置路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往分支的静态路由
2.1.1.3 分支防火墙配置步骤
①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
②定义名称
选择Template type为 【自定义】点击【下一步】。
③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。
⑧配置静态路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往总部的静态路由
3.2 动态IP to 固定IP
3.2.1 应用场景
公司或分部或数据中心,距离远,但两点之间需要经常进行安全的通迅,防火墙与防火墙之间建立IPsec实现该需求,本例是总部是固定IP,分支是动态IP的情况防火墙的配置。
3.2.2 总部防火墙配置步骤
①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
②定义名称
选择Template type为 【自定义】点击【下一步】。
③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
【提示】 注意【远程网关】需要选择“拨号用户”
④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。
⑧配置路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往分支的静态路由
2.1.3.3 分支防火墙配置步骤
①新建IPsec隧道
登录防火墙,选择菜单 【虚拟专网】-【IPsec隧道】,点击【+新建】新建一条隧道。
②定义名称
选择Template type为 【自定义】点击【下一步】。
③配置网络参数
配置【网络】中【IP版本】、【IP地址】、【接口】等相关参数。
④配置认证参数
配置【认证】中【方法】、【预共享密钥】、【IKE】等相关参数。
⑤配置一阶段参数
配置【阶段1】中【加密】、【DH组】、【本地ID】等相关参数。
⑥配置二阶段参数
配置【阶段2】中【本地地址】、【远端地址】、【加密】、【自动协商】等相关参数。
⑦配置安全策略
选择菜单 【策略&对象】-【IPv4策略】,点击【+新建】新建一条策略。
⑧配置静态路由
选择菜单 【网络】-【静态路由】,点击【+新建】,配置通往总部的静态路由