4 联想防火墙VPN.docVIP

连接企业分支的局域网-局域网VPN 应用 ------------网关到网关 图 连接企业分支的局域网-局域网VPN 应用 上图是局域网-局域网的应用环境。在这种应用环境下局域网-1 和局域网-2 的用户可以 通过防火墙-1 和防火墙-2 之间建立的通信隧道访问到对方网络的任意机器。如上图，局域 网-1 由防火墙-1 保护，它的网络地址是192.168.1.0，子网掩码是255.255.255.0；防火墙-1 的fe1 工作在路由模式，它的IP 地址为192.168.1.254，它的fe3 口和Internet 连接，IP 地址 为202.121.250.2；同时局域网-1 的缺省网关指向192.168.1.254。局域网-2 由防火墙-2 保护， 它的网络地址是192.168.2.0，子网掩码是255.255.255.0；防火墙-2 的fe1 工作在路由模式， 它的IP 地址为192.168.2.254，防火墙-2 的fe1 口面向局域网-1 它的IP 地址192.168.2.254， 它的fe3 口和Internet 连接，IP 地址为202.120.2.101，同时局域网-1 的缺省网关指向 192.168.1.254。图中红线条表示数据在两防火墙之间传输时是经过加密和认证的。 配置步骤 1. 网络配置网络设备物理设备：在防火墙-1 上请参考上面的需求描述将fe3 和fe1的IP 地址配置为202.121.250.2、192.168.1.254，同样防火墙-2 将fe3 和fe1 的IP 地址配置为202.120.2.101、192.168.2.254。 2. 网络配置网络设备VPN 设备：防火墙-1 将ipsec0 和设备fe3 绑定并将其启用；防火墙-2 也将ipsec0 和设备fe3 绑定并将其启用。 3. VPN远程VPN：添加一个新的远程VPN，点击“添加”按钮 防火墙-1： ?? 设定远程VPN 的名称为“GTG1”； ?? 设定远程VPN 地址为202.120.2.101； ?? 设定认证方式为“预共享密钥”； ?? 设定预共享密钥为“LenovoVPN”； ?? IKE 算法组件选择为“3DES-MD5”算法； ?? 认证模式选择为“主模式”； ?? VPN 类型设定为“网关”； 防火墙-2： ?? 设定远程VPN 的名称为“GTG1”； ?? 设定远程VPN 地址为202.121.250.2； ?? 设定认证方式为“预共享密钥”； ?? 设定预共享密钥为“LenovoVPN”； ?? IKE 算法组件选择为“3DES-MD5”算法； ?? 认证模式选择为“主模式”； ?? VPN 类型设定为“网关”； （用户可以根据自身需求进行设置，但是在认证方式，预共享密钥，认证模式，IKE 算法组件这几个选项上两个防火墙必须保持一致，另外VPN 类型必须选择为“网 关”）。 4. VPN网关隧道配置：添加一个新的网关隧道，点击“添加”按钮 防火墙-1： ?? 设定隧道名称为”f1-f2”； ?? 本地保护子网以及本地保护子网掩码设定为”192.168.1.0”和”255.255.255.0”； ?? 在下拉菜单中选择远程VPN 名称“GTG1”； ?? IPSec 算法组件选择为“3DES-MD5”； ?? 完美前向保密选择“否”； ?? 数据包认证方式为“ESP”； ?? 是否压缩选择为“否”； ?? 缺省策略选择为“包过滤”； ?? 并选择启用该隧道； 防火墙-2: ?? 设定隧道名称为”f2-f1”； ?? 本地保护子网以及本地保护子网掩码设定为”192.168.2.0”和”255.255.2555.0”； ?? 在下拉菜单中选择远程VPN 名称“GTG1”； ?? IPSec 算法组件选择为“3DES-MD5”； ?? 完美前向保密选择“否”； ?? 数据包认证方式为“ESP”； ?? 是否压缩选择为“否”； ?? 缺省策略选择为“包过滤”； ?? 并选择启用该隧道； （同样用户可以根据自身需求进行设置，但是在IPSec 算法组件、完美前向保密、 是否压缩、缺省策略这几个选项上两个防火墙必须保持一致） 5. 网络配置静态路由：(默认路由 ) 防火墙-1：(或默认路由也可) ?? 将目的地址设定为0.0.0.0； ?? 下一跳地址为路由器直连地址； ?? 设备均选择为fe1； 防火墙-2：(或默认路由也可) ?? 将目的地址设定为0.0.0.0； ??下一跳地址为路由器直连地址； ?? 设备均选择为fe1； 6. 策略配置安全规则包过滤规则：添加两条允许新建隧道的数据包通过防火墙的规则。 防火墙-1： ?? 首先添加允许数据包流出局域网的规则，把源地址设定为192.168.1.0 子网掩 码2