1、概述
对于防火墙之间的 IPSec 连接,将整个 IP 数据包(标头和负载)嵌入另一个 IP 负载中,并且
应用新标头。新标头将传出防火墙接口的 IP 地址作为源 IP 地址使用,而将隧道远端的传入防
火墙接口作为目标 IP 地址使用。当数据包到达隧道远端的防火墙时,将原始数据包解密并发送
到实际目标主机。
标准拓扑如下图所示:
有两种配置方法:
- 基于路由的配置:不需要定义特殊规则或明确引用 VPN 隧道;路由和加密决策仅由目标 IP 地址确定。
- 基于策略的配置:需要配置隧道的代理 ID。如果需要多个阶段 2 隧道,则在每个隧道上配置不同的代理 ID。
有两种类型的SA:IKE SA 和 IPSEC SA。IKE SA的主要任务是形成一个加密的安全隧道,第二步的IPSEC SA使用第一阶段形成的安全隧道进行ipsec sa的协商。
IKE 阶段 1 对防火墙相互进行身份验证,并设置安全控制通道。它将使用 IKE 加密配置文件进行 IKE SA 协商。
IKE 阶段 2 流经阶段 1 SA,负责协商相关防火墙背后的网络通信的实际隧道。它将使用IPSec 加密配置文件进行 IPSec SA 协商。
2、具体配置流程
1. 规划网络拓扑,然后确定所需隧道数。
2. 使用配置信息定义 IKE 网关,这些配置用于与对端网关进行 IKE 协议协商。
3. 为使用 IKE SA 协商的 VPN 隧道中的标识、身份验证和加密操作配置协议和算法:
4. 配置建立 IPSec VPN 隧道所需的参数。
5. 指定防火墙监测 IPSec 隧道的方式。
6. 设置静态路由或指定路由协议,以将通信重定向到新建的隧道中。
7. 设置安全策略,以过滤和检查通信。
- 传出通信正在进入隧道 — 对于源,请使用明文区域。对于目标,请使用隧道接口区域。
- 传入通信正在离开隧道 — 对于源,请使用隧道接口区域。对于目标,请使用明文区域。
步骤如下:
- 0、新建隧道接口
- 1、配置ike sa(配置p1提议、配置ike gateway)
- 2、配置ipsec sa(配置p2提议、配置ipsec tunnel)
- 3、配置路由条目,添加tunnel接口到对端访问的路由
- 4、配置放行策略,
具体配置过程和hillstone较为类似
0、在接口中新建隧道接口,如下图所示:
1-1、配置P1提议(可选),在network>network profiles>IKE crypto 配置IKE隧道的加密方式
1-2、配置IKE gateway,在network>network profiles>IKE gateway 新建 IKEgateway
2-1、配置P2提议(可选),在在network>network profiles>Ipsec crypto 配置ipsec隧道的加密方式
2-2、配置ipsec tunnel
具体说明如下:
3、配置路由条目
4、配置policy放行
设置从本地内网到对端vpn、对端vpn到本地内网的双向放行策略。如果ipsec vpn为单向访问,只需要配置单向的策略即可。
其中ipsec-HS为tunnel接口所在的区域。