发布时间:2013-09-14
点击量:3530一、组网需求
如下图所示:NGFW1作为桥模式串接在核心交换机上,NGFW2作为出口网关设备,两台NGFW建立SSL-VPN,从而实现两个内网能互相访问。
二、配置要点
NGFW1:
1、配置接口地址
2、配置默认路由
3、配置地址节点
4、配置SSL-VPN功能(配置的预共享密钥两边需一致)
IP地址为对端设备的公网IP地址。
5、配置安全策略
NGFW2:
1、配置接口地址
2、配置默认路由、NAT
3、配置地址节点
4、配置SSL-VPN功能
IP地址为对端设备的公网IP地址。
5、配置安全策略
路由器配置:
1、配置接口
2、配置NAT
3、配置端口映射(将NGFW的管理地址的tcp 40443映射到外网)
4、配置路由
需要配置一条静态路由:到10.1.1.0/24网段的数据下一跳指到NGFW的管理地址,才能实现192.168.90.0/24网段和10.1.1.0/24网段通过VPN互相通信。
三、配置步骤
NGFW1:
1、配置透明桥及接口地址
2、配置默认路由
3、配置地址节点
4、配置SSL-VPN功能
配置的预共享密钥两边需一致。
IP地址为对端设备的公网IP地址:
5、配置安全策略
NGFW2:
1、配置接口地址(配置方法同NGFW1)
2、配置默认路由、NAT
配置10.1.1.0/24网段上网的NAT转换
3、配置地址节点(配置方法同NGFW1)
4、配置SSL-VPN功能
5、配置安全策略
配置一条允许内网访问外网的安全策略:
配置出口路由器:
1、配置接口IP地址:
interface GigabitEthernet 0/0
ip nat inside
no ip proxy-arp
ip address 192.168.90.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet 0/1
ip nat outside
ip address 172.18.10.114 255.255.255.0
content-policy-map Gi0/1
flow-policy Gi0/1
duplex auto
speed auto
bandwidth 10000
2、配置NAT转换
ip access-list standard 1
10 permit any
ip nat pool nat_pool prefix-length 24
address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1
!
ip nat inside source list 1 pool nat_pool overload
2、配置端口映射:将NGFW的管理地址的tcp 40443映射到外网
ip nat inside source static tcp 192.168.90.35 40443 172.18.10.114 40443 permit-inside
3、配置路由
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 172.18.10.1 ------默认路由
ip route 10.1.1.0 255.255.255.0 192.168.90.35 ------配置到10.1.1.0/24网段的数据下一跳到NGFW的管理地址
!
四、验证效果
在PCA上ping PCB可达
在PCB上ping PCA进行可达
