华为USG6390 USG6380 USG6370下一代防火墙总部与分支机构使用IPSec VPN

总部与分支机构之间建立点到点IPSec VPN(预共享密钥认证)

本例使用预共享密钥认证方式实现IKE协商的IPSec隧道的配置。

组网需求

如图1所示,网络A和网络B通过NGFW_A和NGFW_B连接到Internet。网络环境描述如下:

  • 网络A属于10.1.1.0/24子网,与NGFW_A的GigabitEthernet 1/0/3接口连接。
  • 网络B属于10.1.2.0/24子网,与NGFW_B的GigabitEthernet 1/0/3接口连接。
  • NGFW_A和NGFW_B相互路由可达。

通过组网实现如下需求:在NGFW_A和NGFW_B之间建立IKE方式的IPSec隧道,使网络A和网络B的用户可通过IPSec隧道互相访问。

图1 IKE方式协商的点到点IPSec隧道举例组网图

数据规划

项目 数据
NGFW_A 接口号:GigabitEthernet 1/0/3

IP地址:10.1.1.1/24

安全区域:Trust

接口号:GigabitEthernet 1/0/1

IP地址:1.1.3.1/24

安全区域:Untrust

IPSec配置

场景:点到多点

对端地址:1.1.5.1

认证方式:预共享密钥

预共享密钥:[email protected]

本端ID:IP地址

对端ID:IP地址

NGFW_B 接口号:GigabitEthernet 1/0/1

IP地址:1.1.5.1/24

安全区域:Untrust

接口号:GigabitEthernet 1/0/3

IP地址:10.1.2.1/24

安全区域:Trust

IPSec配置

场景:点到点

对端地址:1.1.3.1

认证方式:预共享密钥

预共享密钥:[email protected]

本端ID:IP地址

对端ID:IP地址


 

华为下一代防火墙USG6500 USG6600防火墙产品货架:

USG9520 华为云数据中心安全网关

型号:USG9520

USG9560 华为云数据中心安全网关

型号:USG9560

USG9580 华为云数据中心安全网关

型号:USG9580

USG6680-DC 华为下一代防火墙

型号:USG6680-DC

USG6680-DC 华为下一代防火墙

型号:USG6680-BDL-AC

USG6680-DC 华为下一代防火墙

型号:USG6680-AC

USG6680-DC 华为下一代防火墙

型号:USG6670-DC

USG6680-DC 华为下一代防火墙

型号:USG6670-AC

USG6680-DC 华为下一代防火墙

型号:USG6670-BDL-AC

USG6680-DC 华为下一代防火墙

型号:USG6660-DC

USG6680-DC 华为下一代防火墙

型号:USG6660-BDL-AC

USG6680-DC 华为下一代防火墙

型号:USG6660-AC

USG6680-DC 华为下一代防火墙

型号:USG6650-BDL-AC

USG6680-DC 华为下一代防火墙

型号:USG6650-AC

USG6630-BDL-AC 华为下一代防火墙

型号:USG6630-BDL-AC

USG6630-BDL-AC 华为下一代防火墙

型号:USG6630-AC

USG6530-AC 华为下一代防火墙

型号:USG6530-AC

USG6630-BDL-AC 华为下一代防火墙

型号:USG6620-BDL-AC

USG6630-BDL-AC 华为下一代防火墙

型号:USG6620-AC

USG6570-BDL-AC 华为下一代防火墙

型号:USG6570-BDL-AC

USG6570-BDL-AC 华为下一代防火墙

型号:USG6570-AC

USG6570-BDL-AC 华为下一代防火墙

型号:USG6550-BDL-AC

USG6570-BDL-AC 华为下一代防火墙

型号:USG6550-AC

USG6530-AC 华为下一代防火墙

型号:USG6530-BDL-AC