3.10 IPsec VPN
3.10.1 安全策略、穿越NAT策略
图37 分公司网络拓扑示意图
配置步骤:首先配置内外网路由,然后放行trust区域到untrust区域间IPsec VPN流量的安全策略,再放行local区域到untrust区域的安全策略。在FW6和FW3上完成源NAT的配置。受保护网络访问Internet的数据流都要经过NAT转换,而经过IPSec隧道的数据流不需要经过NAT转换,所以需要在NAT配置中进行区分。
FW3的配置:
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.8.1 255.255.255.0
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 134.23.0.1 255.255.255.252
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/0
#
firewall zone untrust
set pr