本期案例为替换天融信防火墙ipsecVPN的方案分享
天融信防火墙新版的一些墙,在做ipsec vpn第二阶段填写感兴趣流时,并不是写多个网段,而是只能写一个网段,其他子网通过虚拟路由的方式打通。
那为啥不写多个网段的方式?因为天融信本地网段和对端网段配置框只能写一个段。
所以在深信服防火墙替换或者对接天融信防火墙时,按照正常逻辑配置感兴趣流的方式是行不通的,虽然第二阶段可以成功建立起来,但是你的网络实际上是不能正常通信的。
但是在防火墙8.0.107版本新推出了一个ipsec vpn 路由模式,这个路由模式跟上面提到的虚拟路由逻辑几乎是一模一样的,在第二阶段配置时只需要写加密算法即可,默认放通所有子网段,包括对端和本端都是全部放通的。
接下来给大家放图演示一下,配置也是肥肠的简单。 1、下图是一个已经配置完成的界面,可以看到这里的隧道模式已经变成了路由模式。 2、第一阶段的配置不变,跟标准配置ipsec的内容一致。 3、在第二阶段时,有个与天融信的虚拟路由有些不同的地方,就是咱们得配置vpntun口,这个vpntun口需要配置IP地址,但是这个地址无所谓只要不冲突就行,不参与隧道传输。 4、配置完成后可以看到感兴趣流的网段是全部。 5、随后对端有哪些网段,直接通过静态路由的方式写过去,不需要写下一跳,接口选择上vpntun口就行,如果有多个分支,会用到多个vpntun口,只需要注意写对口就行。 至此深信服防火墙8.0.107版本的ipsec vpn路由模式配置就完成了。 其中需要注意的是: 正常来说一个分支单独用一个vpntun口,如果需要一个vpntun口对接多个分支的话,需要在路由高级配置里面,写上对端的vputun口地址,这个功能没有用到过,看着只能自家防火墙对接的时候才会用到吧。
最后再给大家看一下天融信那边的配置,没有做过的可以熟悉一下界面。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 
发表于 
工程师3级 
