1 部署 IPSEC VPN - 点到点 - 预共享秘钥
1.1 问题
本例要求部署 IPSEC VPN - 点到点 - 预共享秘钥
1.2 方案
部署 IPSEC VPN - 点到点 - 预共享秘钥,如图 - 1 所示。
图 - 1
1.3 步骤
步骤一:配置总部防火墙 FW-A 的接口地址,如图 - 2 所示。
图 - 2
步骤二:总部防火墙 FWA 配置地址和地址组对象 ,如图 - 3-4 所示。
图 - 3
图 - 4
步骤三:总部防火墙 FWA 创建安全策略,如图 - 5 所示。
图 - 5
步骤四:总部防火墙 FWA 配置静态路由,如图 - 6 所示。
图 - 6
步骤五:总部防火墙 FWA 部署 IPSECVPN,如图 - 7-8 所示。
预共享秘钥自定义即可,总部和分公司使用相同的预共享秘钥
图 - 7
图 - 8
步骤六:分公司防火墙 FWB 配置接口地址,如图 - 9 所示。
图 - 9
步骤七:分公司防火墙 FWB 配置地址和地址组对象 ,如图 - 10-11 所示。
图 - 10
图 - 11
步骤八:分公司防火墙 FWB 创建安全策略,如图 - 12 所示。
图 - 12
步骤九:分公司防火墙 FWB 配置静态路由,如图 - 13 所示。
图 - 13
步骤十:分公司防火墙 FWB 部署 IPSECVPN,如图 - 14、图 - 15 所示。
要和总部防火墙中配置的预共享秘钥一致。
图 - 14
图 - 15
步骤十一:验证:总部与分公司 VPN 隧道建立成功,如图 - 16 所示。
用总部主机 client 访问分公司服务器 server2 验证
图 - 16
2 部署 IPSEC VPN - 点到点 - 证书认证
2.1 问题
本例要求部署 IPSEC VPN - 点到点 - 证书认证
集团总部和分公司分别在出口防火墙部署 IPSEC VPN,实现总部和分公司高效安全的数据通信。
2.2 方案
部署 IPSEC VPN - 点到点 - 证书认证,如图 - 17 所示。
图 - 17
2.3 步骤
详细步骤步骤与上一实验基本相同,本案例只写与上一案例不同的更新步骤。
步骤一:总部防火墙 FWA 配置 IPSEC VPN - 证书认证
将预共享秘钥改为 RSA 签名,使用华为防火墙默认证书即可,如图 - 18 所示。
图 - 18
步骤二:分公司防火墙 FWB 配置 IPSEC VPN - 证书认证,如图 - 19 所示。
图 - 19
步骤三:验证:总部与分公司 VPN 隧道建立成功,如图 - 20 所示。
用总部主机 client 访问分公司服务器 server2 。
图 - 20
3 IPSEC VPN - 点到多点
3.1 问题
本例要求完成 IPSECVPN - 点到多点配置
1)企业要求,集团总部和所有分公司的财务数据要实时同步,实现高效且安全的传输,分公司之间不需要同步数据.
2)集团对应多个分公司,部署点到多点的 IPSec VPN 来满足需求
3)部署 IPSec VPN 的优势是不改变企业网络架构,不增加设备投入和带宽投入成本的情况下,实现集团和分公司的数据高效且安全的传输
3.2 方案
部署 IPSEC VPN - 点到多点,如图 - 21 所示。
/
图 - 21
3.3 步骤
步骤一:总部防火墙 FWA 配置接口地址,如图 - 22 所示。
图 - 22
步骤二:总部防火墙 FWA 配置地址和地址组,如图 - 23、图 - 24 所示。
图 - 23
图 - 24
步骤三:总部防火墙 FWA 配置安全策略,如图 - 25 所示。
图 - 25
步骤四:总部防火墙 FWA 配置默认路由,如图 - 26 所示。
图 - 26
步骤五:总部防火墙 FWA 配置 IPSEC VPN - 点到多点,如图 - 27 所示。
总部防火墙 FWA,安全提议不需要配置,接受对端提议,如图 - 28 所示。
图 - 27
图 - 28
步骤六:分公司防火墙 FWB 配置安全策略,如图 - 29 所示。
备注:分公司防火墙的基础配置跳过不在一一贴图(接口地址,地址和地址组对)
图 - 29
步骤七:分公司防火墙 FWB 配置路由,如图 - 30 所示。
图 - 30
步骤八:分公司防火墙 FWB 配置 IPSEC VPN - 点到点,图 - 31-32 所示。
分公司防火墙配置点到点,不需要配置点到多点。
图 - 31
步骤九:分公司防火墙 FWC 的配置参照 FWB 完成接口,不再一一贴图
步骤十:在总部防火墙上验证:两个分公司防火墙的 VPN 隧道建立成功,如图 - 32 所示。
图 - 32
https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/SECSOL/DAY03/CASE/01/index.html
若有收获,就点个赞吧
0 人点赞
