《Power V案例-NAT下网关型IPSec VPN.doc》由会员分享,可在线阅读,更多相关《Power V案例-NAT下网关型IPSec VPN.doc(7页珍藏版)》请在金锄头文库上搜索。
1、联想网御科技(北京)有限公司 NAT环境下网关网关IPSec VPN案例背景企业的两个分公司各用一台防火墙做网关,既要保证内网用户通过防火墙访问互联网,又要实现分公司内网之间通过IPSEC VPN进行互联,这是防火墙最基本的功能配置,本案例将介绍配置步骤和注意事项。案例拓扑配置步骤1 按拓扑图配置几个接口的IP地址。其中,PC1和PC2分别将网关指向连接防火墙的接口Fe1的地址。防火墙中的默认网关指向所连接的路由器接口地址。2 分别在两台防火墙上添加NAT规则,将内网访问外网的数据的源地址改为防火墙外网口地址,以FW1为例: 3 配置两台防火墙的vpn设备将防火墙对外出口物理设备绑定在ipse
2、c0上,以FW1为例。 4 在两台防火墙上配置网关端型远程VPN,远程VPN地址配置对端防火墙的外网地址,类型选择网关,以FW1为例 5 两台防火墙上配置网关型隧道,添加正确的本地保护子网和对端保护子网,默认包过滤策略建议选择“包过滤”,以FW1为例 6 在隧道见监控中启动隧道,确认隧道建立成功。7 分别在两台防火墙上各配置2条IPSEC 包过滤策略,源地址和目的地址分别是两端的保护子网。以FW1为例8 配置到这里,两端的保护子网还是无法互相访问的,原因是内网访问外网时,源地址都会被修改,无法进入隧道。所以,在两台防火墙上还要各配置一条允许通过的NAT规则,插入到原来配置的那条NAT规则之前,源地址和目的地址是2个保护子网,以FW1为例 验证和调试1配置完成后,PC1和PC2应该可以互相访问。第7页声明:文档所包含文字和图片版权均属联想网御科技(北京)有限公司所有,任何单位或个人不得擅自出版或发行,违者必究