要求:在FW5和FW3之间建立一条IPSEC通道,保证10.0.2.0/24网段可以正常访问到192.168.1.0/24.
因为是双机热备状态则只需要配置FW1主设备。
新建ACL待加密数据流
安全建议:
IPSec参数配置
FW3配置如下与FW1类似:
FW1中新建安全策略允许IPSec加密流量的放通并允许其从内网向外网发送。
FW3类似操作:
查看IPSec策略列表,成功协商。现在内网可以到外网,而防火墙不允许外网进入内网
FW1和FW2中新建一样的对IPSec的数据流的安全策略
因为流量到达防火墙时先进行NAT转换,则就不能进入IPSec隧道,因此需要新建一个NAT策略
FW1:
FW2:
测试:
