一、组网需求

     如下图所示：NGFW1作为桥模式串接在核心交换机上，NGFW2作为出口网关设备，两台NGFW建立SSL-VPN，从而实现两个内网能互相访问。

 

二、配置要点

NGFW1:

1、配置接口地址

2、配置默认路由

3、配置地址节点

4、配置SSL-VPN功能（配置的预共享密钥两边需一致）

IP地址为对端设备的公网IP地址。

5、配置安全策略

 

NGFW2:

1、配置接口地址

2、配置默认路由、NAT

3、配置地址节点

4、配置SSL-VPN功能

IP地址为对端设备的公网IP地址。

5、配置安全策略

 

路由器配置：

1、配置接口

2、配置NAT

3、配置端口映射（将NGFW的管理地址的tcp 40443映射到外网）

4、配置路由

需要配置一条静态路由：到10.1.1.0/24网段的数据下一跳指到NGFW的管理地址，才能实现192.168.90.0/24网段和10.1.1.0/24网段通过VPN互相通信。

 

三、配置步骤 

NGFW1:

1、配置透明桥及接口地址

2、配置默认路由

3、配置地址节点

4、配置SSL-VPN功能

配置的预共享密钥两边需一致。

IP地址为对端设备的公网IP地址：

5、配置安全策略

NGFW2:

1、配置接口地址（配置方法同NGFW1）

2、配置默认路由、NAT

配置10.1.1.0/24网段上网的NAT转换

3、配置地址节点（配置方法同NGFW1）

4、配置SSL-VPN功能

5、配置安全策略

配置一条允许内网访问外网的安全策略：

 

配置出口路由器：

1、配置接口IP地址：

interface GigabitEthernet 0/0

  ip nat inside

  no ip proxy-arp

  ip address 192.168.90.1 255.255.255.0

  duplex auto

 speed auto

!

interface GigabitEthernet 0/1

  ip nat outside

 ip address 172.18.10.114 255.255.255.0

 content-policy-map Gi0/1

 flow-policy Gi0/1

 duplex auto

 speed auto

 bandwidth 10000

2、配置NAT转换

ip access-list standard 1

  10 permit any

ip nat pool nat_pool prefix-length 24

  address 172.18.10.114 172.18.10.114 match interface GigabitEthernet 0/1

! 

ip nat inside source list 1 pool nat_pool overload

2、配置端口映射：将NGFW的管理地址的tcp 40443映射到外网

ip nat inside source static tcp 192.168.90.35 40443 172.18.10.114 40443 permit-inside

3、配置路由

ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 172.18.10.1    ------默认路由

ip route 10.1.1.0 255.255.255.0 192.168.90.35                   ------配置到10.1.1.0/24网段的数据下一跳到NGFW的管理地址

!         

 

四、验证效果

在PCA上ping PCB可达

在PCB上ping PCA进行可达