ENSP防火墙综合实验(GRE、IPSec、NAT通信)【防火墙安全策略】
一、实验要求
1. 总部需要通过VPN与分支和合作伙伴进行通信
1)WEB服务器对外提供的IP地址为69.1.1.100
2)FW部署Easy-ip实现访问公网FTP服务
2. 分支机构(Branch)员工使用NGFW接入总部。要求实现分支机构安全访问IPSec保护的总部内网服务器。
1)手工方式建立IPSec隧道需要手工配置各项参数:
2)安全参数索引,使用ESP协议的安全联盟的参数
a)入方向安全联盟的SPI为11111
b)出方向安全联盟的SPI为11111。
3)安全联盟的认证密钥,使用ESP协议的安全联盟的参数,
a)入方向安全联盟的认证密钥为字符串12345;
b)出方向安全联盟的认证密钥为字符串12345
4)FW部署Easy-ip实现访问公网client4(ping)
3. 合作伙伴(Partner)使用NGFW接入总部。要求实训合作伙伴通过GRE隧道与总部进行通信。
1)地址要求:隧道IP地址范围为172.16.12.0/24
2)FW部署部署Easy-ip实现访问公网FTP服务
4. 所有的客户端可以通过公网IP地址来访问WEB服务器
注:所有的通信使用静态路由来保证。
二、实验拓补
三、实验配置
1. 防火墙安全区域划分(包括Tunnel接口)
HQ:
trust
priority is 85
interface of the zone is (2):
GigabitEthernet1/0/0
#
untrust
priority is 5
interface of the zone is (3):
GigabitEthernet1/0/2
GigabitEthernet1/0/3
Tunnel1
#
dmz
priority is 50
interface of the zone is (1):
GigabitEthernet1/0/1
Partner
trust
priority is 85
interface of the zone is (2):
GigabitEthernet1/0/0
#
untrust
priority is 5
interface of the zone is (2):
GigabitEthernet1/0/1
Tunnel1
Branch
trust
priority is 85
interface of the zone is (2):
GigabitEthernet1/0/0
#
untrust
priority is 5
interface of the zone is (1):
GigabitEthernet1/0/1
2. 静态路由
HQ
ip route-static 0.0.0.0 0.0.0.0 69.1.1.2
ip route-static 0.0.0.0 0.0.0.0 68.1.1.2
ip route-static 10.1.10.0 255.255.255.0 Tunnel1
ip route-static 10.1.20.0 255.255.255.0 68.1.1.2
ip route-static 111.1.1.0 255.255.255.0 69.1.1.2
ip route-static 112.1.1.0 255.255.255.0 68.1.1.2
注:其实一般公网环境使用缺省即可,两条访问111.1.1.0 & 112.1.1.0的静态路由是为了流量能够正常在公网同行;同时两条访问10.1