IPSEC VPPN实验

实验背景:FW1和FW2是双机热备的状态。

实验要求:在FW和FW3之间建立一条IPSEC通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24

IPSEC VPPN实验配置(由于是双机热备状态,所以FW1和FW2只需要配置FW1主设备即可):

场景选用点到点,配置好FW1的出接口地址和对端FW3的接口地址,认证方式选用预共享密钥(密钥自己设置),身份认证选用IP地址

新建ACL待加密数据流的配置

安全提议配置:

IKE参数配置:

IPSec参数配置:

FW3的配置:同样选择点到点,只是IP地址配置和FW1相反

新建ACL待加密数据流的配置 :

安全提议的配置和FW1一样

然后去FW1安全策略里面放通IKE(UPD500)报文的策略,服务不仅要允许IKE的流量,也要允许IPSec加密流量ESP的放通,允许它从内网往外网发送

新建一个对应IKE的服务

在FW3也同样如此

此时查看IPSec策略就可以看见已经协商成功了

此时,内网的数据可以到达外网,但外网的数据在经过防火墙时,防火墙并不允许外网的流量进来

在新建一个针对IPSec的数据流量的安全策略(FW1和FW2一样)

由于NAT地址转换是上游配置,而IPSec隧道是下游配置,一般流量出防火墙会先做NAT转换,但是做了NAT转换就不能进入IPSec隧道,所以在这新建一个NAT策略

FW1

FW2

由于NAT匹配策略是由上往下,所以这里把精细的IPSec的NAT策略放在上面

相关推荐
OIDCAT3 小时前
国产USB转千兆网卡芯片CH398 VLAN应用
网络·嵌入式硬件·国产·usb转千兆网卡
Kyrie6783 小时前
为什么我们不能等待更好的后量子签名算法
安全
长风2303 小时前
Day 16:大屏呈现——管理层视角 Dashboard 设计
人工智能·安全
ljs6482739514 小时前
Linux 网络常用命令与端口基础详解
linux·网络·php
Ai拆代码的曹操4 小时前
TCP 握手丢包分析:客户端连接超时、服务端无日志的场景排查实践
网络·网络协议·tcp/ip
头茬韭菜4 小时前
4.1-4.2 工具注册 — Fail-Closed 类型安全设计与四层工具架构
java·安全·架构
白帽小阳4 小时前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
网络小白不怕黑4 小时前
13.SSH服务相关配置
服务器·网络·ssh
科技侃谈5 小时前
曹操充电:以“蚂蚁站“模式破局县域补能,让下沉市场充电网络更轻、更快、更可持续
网络
Sirius Wu5 小时前
OpenClaw SubAgent 三层安全约束完整详解
人工智能·安全·ai·架构·aigc