防火墙技术案例5双机热备(负载分担)组网下的IPSec配置
IPsec协议的策略配置实例
IPsec协议的策略配置实例IPsec(Internet Protocol Security)是一种用于保护IP数据包传输安全的协议。
通过对数据进行加密、身份认证和完整性验证,IPsec协议可以有效地防止数据在传输过程中的被窃听、篡改和伪造。
在实际应用中,合理的策略配置对于IPsec协议的安全性和性能发挥至关重要。
本文将介绍一个IPsec协议策略配置的实例,以帮助读者更好地理解如何使用IPsec协议来保护网络通信。
一、确定安全需求与目标在配置IPsec策略之前,首先应该明确实际安全需求和目标。
例如,我们可能希望保护公司内部局域网与外部网络之间的通信安全,防止敏感信息泄露和未经授权的访问。
基于这样的需求,我们可以制定以下目标:1. 加密通信:确保数据在传输中是加密的,使得窃听者无法获得明文内容。
2. 身份认证:确保通信双方的身份是合法的,避免冒充和中间人攻击。
3. 完整性验证:确保传输的数据没有被篡改或损坏。
二、选择合适的IPsec策略根据实际需求和目标,选择合适的IPsec策略是关键步骤之一。
常见的IPsec策略有两种:传输模式(Transport Mode)和隧道模式(Tunnel Mode)。
传输模式一般用于主机到主机的通信,仅保护IP数据包的有效载荷(Payload),对IP头部不进行处理。
而隧道模式则用于网络到网络的通信,对整个IP数据包进行加密和认证。
根据我们的需求,我们选择隧道模式,以保护整个网络之间的通信安全。
三、配置IPsec策略在选择好IPsec策略之后,我们可以开始配置IPsec协议以实现所需的保护措施。
配置步骤如下:1. 配置IPsec策略目的地我们需要明确需要保护的网络通信源和目的地。
例如,我们希望保护本地局域网(192.168.1.0/24)与远程办公地点(10.0.0.0/24)之间的通信安全。
2. 生成必要的密钥和证书IPsec协议使用密钥进行加密和认证。
我们需要生成用于隧道模式的加密密钥和身份认证密钥。
防火墙双机热备配置案例
双机热备网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。
在双机热备模式下(最多支持九台设备),任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。
当主墙的任何一个接口(不包括心跳口)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。
在负载均衡模式下(最多支持九台设备),两台/多台防火墙并行工作,都处于正常的数据转发状态。
每台防火墙中设置多个VRRP备份组,两台/多台防火墙中VRID相同的组之间可以相互备份,以便确保某台设备故障时,其他的设备能够接替其工作。
在连接保护模式下(最多支持九台设备),防火墙之间只同步连接信息,并不同步状态信息。
当两台/多台防火墙均正常工作时,由上下游的设备通过运行VRRP或HSRP进行冗余备份,以便决定流量由哪台防火墙转发,所有防火墙处于负载分担状态,当其中一台发生故障时,上下游设备经过协商后会将其上的数据流通过其他防火墙转发。
双机热备模式基本需求图 1双机热备模式的网络拓扑图上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。
配置要点➢设置HA心跳口属性➢设置除心跳口以外的其余通信接口属于VRID2➢指定HA的工作模式及心跳口的本地地址和对端地址➢主从防火墙的配置同步WEBUI配置步骤1)配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。
接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。
➢主墙a)配置HA心跳口地址。
①点击网络管理>接口,然后选择“物理接口”页签,点击eth2接口后的“设置”图标,配置基本信息,如下图所示。
点击“确定”按钮保存配置。
双机热备与ipsec结合使用解释 说明
双机热备与ipsec结合使用解释说明嘿,你知道吗?双机热备和 IPSec 这俩家伙,就像是一对默契十足
的好搭档!双机热备呢,就好比是一个随时准备替补上场的超级候补
队员。
比如说吧,你的主服务器突然“生病”了,不能工作了,这时候
双机热备就会立刻冲上去,保证系统还能正常运行,是不是很厉害?
而 IPSec 呢,它就像是给你的数据穿上了一层坚固的铠甲!它能把
你的数据保护得好好的,让它们在网络世界里安全地“旅行”。
那要是把双机热备和 IPSec 结合起来使用,哇塞,那可不得了!这
就好像是一支强大的军队,既有勇猛的前锋在前方冲锋陷阵,又有坚
固的后盾保障一切。
想象一下,你的系统正在稳定地运行着,双机热备在一旁默默守护,随时准备应对突发状况。
而 IPSec 则把所有的数据都保护得严严实实,不让任何外界的威胁有可乘之机。
这不就是我们最想要的那种安全又
可靠的状态吗?
你看啊,要是只有双机热备,虽然能保证系统不停机,但数据的安
全呢?要是没有 IPSec 的保护,那不是很容易被攻击?反过来,只有IPSec 也不行啊,系统万一出问题了咋办?所以啊,它们俩结合起来,
那才是真正的完美!
我就觉得,双机热备和 IPSec 结合使用,真的是太重要了!它们能让我们的系统既稳定又安全,这难道不是我们一直追求的吗?难道你不想让你的系统也拥有这样强大的保障吗?。
华为防火墙(VRRP)双机热备配置及组网
防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。
防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
HRP命令行配置说明HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP 是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。
不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。
在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。
两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。
防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
IPSec使用方法:配置和启用IPSec的步骤详解(四)
IPSec使用方法:配置和启用IPSec的步骤详解IPSec(Internet Protocol Security)是一种常用的网络安全协议,用于对网络通信进行加密和身份验证。
通过使用IPSec,我们可以保护数据的机密性和完整性,防止黑客和未经授权的访问者获得敏感信息。
本文将详细介绍配置和启用IPSec的步骤。
一、了解IPSec在开始配置和启用IPSec之前,我们首先要对IPSec有所了解。
IPSec是一套协议和算法的组合,用于在网络层提供数据的安全性。
它通过在IP层加密数据包来保护数据传输的机密性和完整性。
IPSec协议具有两种模式:传输模式和隧道模式。
传输模式只对数据部分进行加密,而隧道模式将整个IP数据包都加密。
二、确定IPSec使用场景在配置和启用IPSec之前,我们需要确定IPSec的使用场景。
我们可以使用IPSec来保护两个网络之间的通信,也可以用于保护远程访问VPN连接。
了解使用场景有助于我们选择正确的配置选项和参数。
三、配置IPSec1. 确保网络设备支持IPSec协议。
大多数现代网络设备都支持IPSec协议,如路由器、防火墙和虚拟专用网关。
2. 找到并打开网络设备的管理界面。
可以通过在Web浏览器中输入网络设备的IP地址来访问管理界面。
3. 导航到IPSec配置页面。
不同的设备管理界面可能有所不同,但通常可以在安全或VPN设置下找到IPSec配置选项。
4. 配置加密算法。
IPSec支持多种加密算法,如AES、3DES和DES。
根据安全需求选择合适的算法。
5. 配置身份验证算法。
IPSec使用身份验证算法来确认通信双方的身份。
常见的身份验证算法有预共享密钥和证书。
选择适合的身份验证算法,并创建所需的密钥或证书。
6. 配置密钥管理。
密钥管理是IPSec中关键的一部分,用于协商和管理加密密钥。
可以选择手动密钥管理或自动密钥管理协议(如IKE)。
7. 配置IPSec策略。
IPSec策略定义了如何应用IPSec加密和身份验证规则。
IPSec与防火墙配合:实现多层次的网络安全(四)
IPSec与防火墙配合:实现多层次的网络安全随着互联网的普及和发展,网络安全问题日益凸显。
为保护网络系统免受攻击和入侵,许多组织和个人已经采取了多种安全措施。
其中,IPSec与防火墙的配合应用,为实现多层次的网络安全提供了有效的解决方案。
一、IPSec的概述IPSec(Internet Protocol Security)是一种网络安全协议,用于保护网络通信的数据传输。
它通过加密和认证技术,确保数据在传输过程中的机密性、完整性和可用性。
IPSec采用了一系列的协议和算法,包括加密算法、认证协议和密钥管理协议等,以提供安全的IP层通信。
二、防火墙的作用防火墙是网络安全的第一道防线,主要用于监控和控制网络流量。
它可以过滤传入和传出的数据包,根据设定的规则阻止恶意流量,从而保护网络免受未经授权的访问、病毒、攻击和其他安全威胁。
防火墙通过访问控制列表(ACL)和网络地址转换(NAT)等技术,对进出的数据包进行筛选和修改。
三、IPSec与防火墙的协同作用1. 加密数据传输IPSec可以通过加密算法对数据进行加密,保护数据在传输过程中的机密性。
防火墙则负责监控数据包的流量,在数据进出防火墙时进行解密和加密的处理。
通过IPSec与防火墙的协同作用,可以确保数据在公共网络中的传输是安全的。
2. 认证通信双方IPSec可以使用认证协议对通信双方进行认证,防止恶意用户伪装成合法用户进行网络攻击。
防火墙可以配合IPSec的认证功能,对通信发起者的身份进行验证。
只有通过验证的用户才能通过防火墙进行访问,提高了网络系统的安全性。
3. 密钥管理与策略控制IPSec中的密钥管理协议可以确保通信双方之间的密钥安全。
防火墙通过与IPSec连接,可以实现对密钥的分发和更新。
同时,防火墙还可以根据策略进行流量控制,根据网络环境的需求和安全策略的配置,对数据包的进出进行管理和筛选。
四、多层次的网络安全保障IPSec与防火墙的配合应用,实现了多层次的网络安全保障。
IPSec使用方法:配置和启用IPSec的步骤详解(三)
IPSec使用方法:配置和启用IPSec的步骤详解IPSec(Internet Protocol Security)是一种常用的网络安全协议,用于保护网络通信的安全性和完整性。
通过对数据进行加密和认证,IPSec确保了数据在网络传输过程中的保密性和防篡改能力。
本文将详细介绍IPSec的配置和启用步骤,帮助读者了解如何使用IPSec 来保护网络通信的安全。
一、IPSec的概述IPSec协议是在网络层实现的安全协议,它通过对IP数据包进行加密和认证,确保数据在传输过程中的安全性。
IPSec使用了多种加密和认证算法,如DES、3DES、AES等,同时还支持两种模式:传输模式和隧道模式。
传输模式适用于通信双方在同一网络中,而隧道模式则适用于需要跨越不同网络的通信。
二、IPSec的配置步骤以下是IPSec的配置步骤:1. 确定加密和认证算法:首先,需要确定使用哪种加密和认证算法来保护通信。
常用的算法有DES、3DES和AES,认证算法可以选择MD5或SHA。
2. 配置密钥管理:IPSec需要使用密钥来进行加密和认证,因此需要配置密钥管理。
可以选择手动配置密钥,也可以使用自动密钥交换协议(IKE)来自动分发密钥。
3. 配置安全策略:安全策略定义了哪些流量需要被保护,以及如何进行保护。
可以根据需要定义多个安全策略,每个策略可以有不同的加密和认证算法。
4. 配置IPSec隧道:如果需要跨越不同网络的通信,需要配置IPSec隧道。
隧道配置包括隧道模式、本地和远程网关地址,以及相应的加密和认证算法。
5. 启用IPSec:完成配置后,需要启用IPSec来保护通信。
启用IPSec的方式可以是在路由器或网络防火墙上配置相应的规则,也可以在主机上使用IPSec客户端软件。
三、IPSec的启用步骤以下是IPSec的启用步骤:1. 检查设备支持:首先,需要检查网络设备是否支持IPSec。
大多数现代路由器、防火墙和操作系统都已经支持IPSec,但仍需确保设备支持。
SecPath_防火墙双机热备典型配置
SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:目录1 特性简介 (3)1.1 双机热备的工作机制 (3)2 特性使用指南 (4)2.1 使用场合 (4)2.2 配置指南 (4)2.2.1 双机热备组网应用配置指南 (4)2.2.2 双机热备应用涉及的配置 (4)2.3 注意事项 (4)3 支持的设备和版本 (5)3.1 设备版本 (5)3.2 支持的设备 (5)3.3 配置保存 (5)4 配置举例 (6)4.1 典型组网 (6)4.2 设备基本配置 (9)4.2.1 其他共同配置: (9)4.3 双机热备业务典型配置举例 (9)4.3.1 透明模式+主备模式 (9)4.3.2 透明模式+负载分担模式 (14)4.3.3 路由模式+主备模式 (17)4.3.4 路由模式+负载分担模式 (19)4.3.5 路由模式+主备模式+支持非对称路径 (21)4.3.6 路由模式+负载分担模式+支持非对称路径 (27)4.3.7 动态路由模式组网 (32)5 相关资料 (33)1 特性简介双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
论坛的小伙伴们,大家好。
强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。
说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。
但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢?本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。
【组网需求】如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。
(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10)现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。
当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。
【需求分析】针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态?两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。
如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。
2、分支与总部之间如何建立IPSec隧道?正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。
当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。
3、总部的两台防火墙如何对流量进行引导?总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。
NGFW_A之间分别建立一条备用隧道(图中虚线表示)。
这样当NGFW_D出现故障时,分支B发送到总部的流量会通过备用隧道由NGFW_C发送到总部,就不会导致业务中断啦。
这个想法很好,但是如何实现呢?我们可以在NGFW_C上创建两个tunnel接口,然后在tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道。
同理在NGFW_D的tunnel1上与NGFW_A建立一条备份隧道,在tunnel2上与NGFW_B建立一条主用隧道。
这里需要注意的是NGFW_C上的tunnel1(tunnel2)地址需要与NGFW_D上的tunnel1(tunnel2)地址保持一致。
我想这时小伙伴们又要问为什么了?这样做的好处是在NGFW_A上只需要与对端的tunnel1接口建立隧道即可,NGFW_A不用去关心这个tunnel1是NGFW_C还是NGFW_D的(因为他们的IP是一致的)。
同理NGFW_B只需要与对端的tunnel2接口建立隧道即可。
1)定义受IPSec VPN保护的数据流。
HRP_A[NGFW_C]acl 3005HRP_A[NGFW_C-acl-adv-3005]rule permit ip source 10.1.2.0 0.0.0.255 destination10.1.3.0 0.0.0.255HRP_A[NGFW_C-acl-adv-3005]quitHRP_A[NGFW_C] acl 3006HRP_A[NGFW_C-acl-adv-3006]rule permit ip source 10.1.2.0 0.0.0.255 destination10.1.4.0 0.0.0.255HRP_A [NGFW_C-acl-adv-3006]quit【强叔点评】ACL3005定义的是总部与分支A之间的流量,ACL3006定义的是总部与分支B之间的流量。
2)配置IPSec安全提议。
【强叔点评】如果创建IPSec安全提议后,不进行任何配置,则IPSec安全提议使用默认参数。
本案例中使用默认参数,小伙伴们可以根据自己的实际安全需求修改IPSec安全提议中的参数。
HRP_A[NGFW_C]ipsec proposal tran1HRP_A[NGFW_C-ipsec-proposal-tran1]quit3)配置IKE安全提议。
本案例中使用IKE安全提议的默认参数。
HRP_A[NGFW_C]ike proposal 10HRP_A[NGFW_C-ike-proposal-10]quit4)配置两个IKE对等体,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C]ike peer ngfw_aHRP_A[NGFW_C-ike-peer-ngfw_a]ike-proposal 10HRP_A[NGFW_C-ike-peer-ngfw_a]remote-address 1.1.1.1HRP_A[NGFW_C-ike-peer-ngfw_a]pre-shared-key Admin@123HRP_A[NGFW_C-ike-peer-ngfw_a]quitHRP_A[NGFW_C]ike peer ngfw_bHRP_A[NGFW_C-ike-peer-ngfw_b]ike-proposal 10HRP_A[NGFW_C-ike-peer-ngfw_b]remote-address 1.1.2.1HRP_A[NGFW_C-ike-peer-ngfw_b]pre-shared-key Admin@123HRP_A[NGFW_C-ike-peer-ngfw_b]quit5)配置两个IPSec策略,分别用于总部与两个分支建立IPSec。
HRP_A[NGFW_C]ipsec policy map1 10 isakmpHRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]security acl 3005HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]proposal tran1HRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]ike-peer ngfw_aHRP_A[NGFW_C-ipsec-policy-isakmp-map1-10]quitHRP_A[NGFW_C]ipsec policy map2 10 isakmpHRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]security acl 3006HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]proposal tran1HRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]ike-peer ngfw_bHRP_A[NGFW_C-ipsec-policy-isakmp-map2-10]quit6)配置在Tunnel接口上应用IPSec策略。
【强叔点评】之前点评中提到我们需要在NGFW_C的tunnel1上与NGFW_A建立一条主用隧道,在tunnel2上与NGFW_B建立一条备份隧道,这是通过在应用IPSec策略时设定active或standby参数来实现的。
HRP_A[NGFW_C]interface Tunnel 1HRP_A[NGFW_C-Tunnel1]ipsec policy map1 activeHRP_A[NGFW_C-Tunnel1]quitHRP_A[NGFW_C]interface Tunnel 2HRP_A[NGFW_C-Tunnel2]ipsec policy map2standbyHRP_A[NGFW_C-Tunnel2]quit7)在NGFW_D上配置IPSec。
双机热备状态成功建立后,NGFW_C上配置的ACL、IPSec策略(包括其中的IPSec 安全提议,IKE对等体)等都会自动备份到NGFW_D上。
只有在接口上应用IPSec 策略的配置不会备份,需要在此手动配置。
HRP_S[NGFW_D]interface Tunnel 1HRP_S[NGFW_D-Tunnel1]ipsec policy map1 standbyHRP_S[NGFW_D-Tunnel1]quitHRP_S[NGFW_D]interface Tunnel 2HRP_S[NGFW_D-Tunnel2]ipsec policy map2 activeHRP_S[NGFW_D-Tunnel2]quit8)在NGFW_A和NGFW_B上配置IPSec。
NGFW_A和NGFW_B的配置比较简单,就是一个点到点方式的IPSec配置。
只要将NGFW_A的IPSec隧道Remote Address配置为Tunnel1接口的IP地址;NGFW_B的IPSec隧道Remote Address配置为Tunnel2接口的IP地址就行了。
受篇幅所限,强叔就不详细讲了。
3、配置路由和路由策略。
双机热备和IPSec配置完成后,只要再保证NGFW_A与Tunnel1接口的路由可达,就可以成功建立IPSec隧道了。
但这时一个新的问题又出现了,那就是流量到达Router1后不知道是该送往NGFW_C 还是NGFW_D的Tunnel1接口了,如下图所示。
而且我们还面临另外一个问题,那就是如何确保NGFW_A的回程流量能够回到NGFW_A呢?回程流量到达Router2后不知道是该发给NGFW_C还是NGFW_D。
小伙伴们别急,强叔还是有办法的,那就是通过路由策略来实现。
1)首先我们需要定义三条数据流,一条匹配来自分支A的去和回的流量:HRP_A[NGFW_C]acl 2000HRP_A[NGFW_C-acl-basic-2000]rule permit source 2.2.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2000]rule permit source 10.1.3.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2000]quit一条匹配分支B的去和回的流量:HRP_A[NGFW_C]acl 2001HRP_A[NGFW_C-acl-basic-2001]rule permit source 2.2.5.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2001]rule permit source 10.1.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2001]quit第三条匹配来自分支A和B的去和回的流量:HRP_A[NGFW_C]acl 2002HRP_A[NGFW_C-acl-basic-2002]rule permit source 2.2.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002]rule permit source 10.1.3.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002]rule permit source 2.2.5.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002]rule permit source 10.1.4.0 0.0.0.255HRP_A[NGFW_C-acl-basic-2002]quit2)然后我们需要配置几条路由策略,实现以下效果。