(场景选用点到点,配置好FW1的出接口地址和对端FW3的接口地址,认证方式选用预共享密钥,身份认证选用IP地址)
1、FW1 IP Sec策略配置
IKE参数配置:
IP Sec参数:
FW2配置:
加密数据流配置:
IKE参数配置和IPSec参数配置和FW1一样
在FW1安全策略里面放通IKE(UDP500)报文的策略,服务不仅要允许IKE的流量通过,也要允许IPSec加密流量ESP通过,允许它从内网往外网发送
3、新建一个IKE服务
FW3同上配置
新建IKE服务
4、新建一个针对IPSec的数据流量的安全策略
由于NAT地址转换是上游配置,而IPSec隧道是下游配置,流量流出防火墙会先做NAT转换,但是就不能进入IPSec隧道 ,所以要新建一个NAT策略
FW1 NAT配置:
FW2 NAT配置:
由于NAT匹配策略是由上往下,所以把IPSec的NAT策略放上面