分支机构通过IPSec连接到总部并由总公司统一控制访问外网
在实际的应用中,经常需要使用HUB-Spoke类型的组网,即一个总部到多个分支机构的组网,分支节点建立到总部的IPSec隧道,各个分支机构之间的通信由总部节点转发和控制。本配置任务中,分支机构必须通过IPSec隧道来访问Internet。
组网需求
如图1所示,某企业分为总部(HQ)和分支机构。组网如下:
- 分支机构通过NGFW_B与Internet相连。
- NGFW_A和NGFW_B相互路由可达。
- 总部NGFW_A和NGFW_B的公网地址均为固定地址。
要求实现如下需求:
- 分支机构PC能与总部Server之间进行安全通信。NGFW_A、NGFW_B之间建立IPSec隧道。
- 分支机构员工同时也要访问Internet。访问Internet的流量要经过隧道到达总部,由总部网关NGFW_A统一控制,且要经过NAT转换将内网地址转换为公网地址。
数据规划
| 项目 | 数据 |
|---|---|
| NGFW_A | 接口号:GigabitEthernet 1/0/3
IP地址:10.1.1.1/24 安全区域:Trust |
| 接口号:GigabitEthernet 1/0/1
IP地址:1.1.3.1/24 安全区域:Untrust |
|
| IPSec配置
场景:点到点 认证方式:预共享密钥 预共享密钥:Admin@123 对端IP地址:不指定对端网关 本端ID:IP地址 对端ID:接受对端任意ID |
|
| 源NAT策略
地址池:1.1.3.10~1.1.3.20 |
|
| NGFW_B | 接口号:GigabitEthernet 1/0/1
IP地址:1.1.5.1/24 安全区域:Untrust |
| 接口号:GigabitEthernet 1/0/3
IP地址:10.1.2.1/24 安全区域:Trust |
|
| IPSec配置
场景:点到点 认证方式:预共享密钥 预共享密钥:Admin@123 对端地址:1.1.3.1 本端ID:IP地址 对端ID:IP地址 |
华为下一代防火墙USG6500 USG6600防火墙产品货架:
型号:USG9520
型号:USG9560
型号:USG9580
型号:USG6680-DC
型号:USG6680-BDL-AC
型号:USG6680-AC
型号:USG6670-DC
型号:USG6670-AC
型号:USG6670-BDL-AC
型号:USG6660-DC
型号:USG6660-BDL-AC
型号:USG6660-AC
型号:USG6650-BDL-AC
型号:USG6650-AC
型号:USG6630-BDL-AC
型号:USG6630-AC
型号:USG6530-AC
型号:USG6620-BDL-AC
型号:USG6620-AC
型号:USG6570-BDL-AC
型号:USG6570-AC
型号:USG6550-BDL-AC
型号:USG6550-AC
型号:USG6530-BDL-AC
发表评论