ipsec不作多介绍,直接上配置步骤。
与前面文章中路由模式的ipsec不一样,其实个人理解来看,通俗理解如下:
策略模式的***,方便,步骤简单。快!不易于扩展,比如那种多分支site的访问等等。
路由模式的***,步骤稍复杂,基于tunnel做。受制于设备的参数支持,扩展性好。
经历了不下于50台山石网科的防火墙的应用组网和设备运维后,俩者均有特点,还是要视客户的具体网络需求去定制。千万记住,不可装X,只推荐路由或者只推荐策略,用户会觉得你不专业。
好了,闲话少说,直接上菜。
防火墙系统是5.0版本的。
1.建立隧道
首先,登陆hillstone防火墙,点选左侧ipsec-***,然后点新建;
2.在如下的界面进行第一阶段IKE ×××的配置,界面如下:
3.点击高级配置里,如存在nat穿越,勾选nat穿越,以及对端存活监测
4.点击第二阶段,配置第二阶段协商参数、隧道模式(代理ID,这里是俩端设备都是山石所以选择自动,若对端不是山石,需要手动指定,在往后的文章中聊)
5.接着配置高级参数,默认勾选上自动连接即可,(***隧道检测,至于为什么,往后聊)
6.到这里ipsec的配置完成,可以查看下ipsec状态,如果按照上面的配置下来,这里理论是隧道状态就起来了。
7.我们这一篇聊的是hillstone-ipsec策略配置方法。所以去策略界面配置策略。
8.在配置界面进行如下图配置,选择双向配置,并且注意策略要置顶,(这个与juniper-SSG习惯是一样的)
置顶方法,也一笔带一下。毕竟咱是专业的。
然后这个时候,策略也放行,ipsec-***也建立成功。大家就应该可以在俩端内网互ping了,但是仍然ping不通,,大家莫慌。
在我们前面介绍的路由模式中,是不是有一个配置tunnel接口路由的步骤。所以这里的策略模式的***,就不能配置路由了,但是需要将本地到对端的内网流量进行不转换指定。(这里跟很多出口(思科、H3C、华为)路由设备配置了ipsec-***)的道理其实是一样。
需要做一次“源不转换”的配置。
9,配置源不转换(snat)
10.在弹出的窗口中,进行如下配置,保证隧道内网流量不会被转换公网出接口ip地址,服务不选择,默认是any,同时注意这个snat的规则一定要置顶,不然规则不生效,仍然ping不通对端内网。
11.到这里hillstone-ipsec***策略模式的配置步骤就全部结束。写在最后,
调试注意地方:
①看看流量是否有匹配到隧道,检查策略的命中数,如下图:
②注意检查snat的规则是否置顶,前面也说了,再唠叨一次。一定要注意这个
好了,到这里此篇文章介绍就全部结束。
山石网科的策略和路由模式的ipsec配置方法也全部介绍完了。欢迎各位路过大拿指导,拍砖!
