总部与分支机构之间建立点到点IPSec VPN(预共享密钥认证)
本例使用预共享密钥认证方式实现IKE协商的IPSec隧道的配置。
组网需求
如图1所示,网络A和网络B通过NGFW_A和NGFW_B连接到Internet。网络环境描述如下:
- 网络A属于10.1.1.0/24子网,与NGFW_A的GigabitEthernet 1/0/3接口连接。
- 网络B属于10.1.2.0/24子网,与NGFW_B的GigabitEthernet 1/0/3接口连接。
- NGFW_A和NGFW_B相互路由可达。
通过组网实现如下需求:在NGFW_A和NGFW_B之间建立IKE方式的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。
图1 IKE方式协商的点到点IPSec隧道举例组网图
数据规划
| 项目 | 数据 |
|---|---|
| NGFW_A | 接口号:GigabitEthernet 1/0/3
IP地址:10.1.1.1/24 安全区域:Trust |
| 接口号:GigabitEthernet 1/0/1
IP地址:1.1.3.1/24 安全区域:Untrust |
|
| IPSec配置
场景:点到多点 对端地址:1.1.5.1 认证方式:预共享密钥 预共享密钥:Admin@123 本端ID:IP地址 对端ID:IP地址 |
|
| NGFW_B | 接口号:GigabitEthernet 1/0/1
IP地址:1.1.5.1/24 安全区域:Untrust |
| 接口号:GigabitEthernet 1/0/3
IP地址:10.1.2.1/24 安全区域:Trust |
|
| IPSec配置
场景:点到点 对端地址:1.1.3.1 认证方式:预共享密钥 预共享密钥:Admin@123 本端ID:IP地址 对端ID:IP地址 |
型号:USG9520
型号:USG9560
型号:USG9580
型号:USG6680-DC
型号:USG6680-BDL-AC
型号:USG6680-AC
型号:USG6670-DC
型号:USG6670-AC
型号:USG6670-BDL-AC
型号:USG6660-DC
型号:USG6660-BDL-AC
型号:USG6660-AC
型号:USG6650-BDL-AC
型号:USG6650-AC
型号:USG6630-BDL-AC
型号:USG6630-AC
型号:USG6530-AC
型号:USG6620-BDL-AC
型号:USG6620-AC
型号:USG6570-BDL-AC
型号:USG6570-AC
型号:USG6550-BDL-AC
型号:USG6550-AC
型号:USG6530-BDL-AC
发表评论