深信服防火墙网桥模式下ipsec配置
最新回答
_蓝色丶夜☆空★
2021-05-12 21:30:00
一、前期准备
1. 接口确认 提前完成网桥组创建,将上下联物理接口加入网桥组,网桥组需配置独立管理IP用于IPsec协商交互,桥内物理接口无需单独配置IP地址。
2. 拓扑梳理 明确本地网桥覆盖的业务网段、对端VPN网关公网IP以及对端需要加密的业务网段,提前确认两端公网链路可达,无防火墙或运营商拦截IPsec协议(UDP500、UDP4500以及ESP协议)。
二、配置步骤
1. 创建IPsec提议 进入VPN-IPsec VPN模块的IPsec提议页面,配置加密算法、认证算法和DH组,建议使用AES-256加密、SHA2-256认证、DH组14及以上参数,保证隧道安全性,两端配置必须完全一致。
2. 配置IPsec策略 选择自动密钥模式,填入对端公网IP和预共享密钥,绑定已创建的IPsec提议,手动密钥模式需提前协商密钥参数,适合高安全合规场景。
3. 配置保护数据流 新建ACL规则,指定需要加密的本地业务网段和对端业务网段,网桥模式下ACL需精准匹配桥内网段流量,避免误包含网桥管理IP网段。
4. 绑定策略到网桥组 将配置完成的IPsec策略绑定到网桥组接口,而非单个物理接口,确保桥内所有匹配ACL的流量自动进入加密隧道转发。
5. 配置NAT豁免 在NAT策略中添加豁免规则,将IPsec保护的数据流排除在NAT转换范围之外,防止隧道流量被错误转换导致协商失败。
三、验证与排错
1. 协商状态验证 进入IPsec状态页面查看隧道状态,显示UP即为协商成功,可查看隧道收发流量确认数据正常传输。
2. 业务连通性测试 使用两端内网主机互ping或直接访问业务服务,确认加密流量可以正常跨隧道传输。
3. 常见排错 若协商失败,优先检查预共享密钥、加密算法参数是否匹配,再排查两端ACL网段是否对称、NAT豁免规则是否生效,最后确认网桥组接口是否正常转发业务流量。
热门标签
