【简介】我们已经学会利用向导的便捷,快速建立起IPsec安全隧道,并且学会了ADSL拨号宽带如何才能在变更了IP后仍然可以保持IPsec隧道连接。下面我们将学习如何根据需求增加访问地址。
向导生成路由与策略
第一篇文章中,我们在用向导配置时,会显示一页对象摘要。
①对象摘要显示,IPsec向导会创建一个虚拟接口、本地和对端地址组、静态和黑洞路由以及本地远程和对端到内网策略。
②登录总部601E防火墙,选择菜单【网络】-【接口】,在宽带接口port1的下方,我们可以看到IPsec隧道接口。
③ 选择菜单【策略&对象】-【地址】,可以看到向导建立的IPsec隧道有关地址对象以及地址组。
④选择菜单【网络】-【静态路由】,可以看到向导生成的IPsec隧道路由以及黑洞路由。注意看,这里的目标地址,用的是地址组对象。
⑤选择菜单【策略&对象】-【防火墙策略】,可以看到IPsec向导有建立两条策略,一条是内网访问隧道,一条是隧道访问内网,注意看,它们的源地址和目标地址也是用地址组对象表示的。
总部变更需求及更改
我们的IPsec访问需求有可能会改变。
①总部601E防火墙在原有内网接口172.16.188.0网段的基础上,增加了一个无线接口172.16.218.0,要求与内网接口一样,也允许通过IPsec隧道补分公司远程访问。那要怎么做呢?要重建向导吗?
②其实不用重建,有没有注意到刚才我们看到IPsec向导不管是建立路由还是策略,都是使用的地址组对象。对了,我们只要修改地址组对象就好了。首先登录总部防火墙,选择【策略&对象】-【地址】,选择IPsec向导生成的本地子网地址对象,点击【克隆】。
③修改新的地址对象名称,把后缀由1改为2。
④新建了一条地址对象,但是地址内容还是克隆的,选择新建的地址对象,点击【编辑】。
⑤修改成无线接口的网段。点击【确认】,这样一个新的访问地址对象就建好了。
⑥在地址组里选择本地地址组,点击【编辑】。
⑦点击成员里的加号,选择新建的地址对象2。点击【确认】。
⑧可以看到IPsec隧道的本地地址组增加了一个地址对象,这样就有两个地址网段了。
⑨这就完了吗?不,前面的IPsec向导只是指定了访问内网接口,我们还要增加访问无线接口的策略。但是策略不能象地址对象建克隆。不过也有其它办法,选择内网到隧道的策略,点击右键,弹出菜单里选择【复制】。
⑩再次选择策略,点击右键,弹出菜单里选择【粘贴】,以上或Below任选。
⑾成功的克隆出一条策略,但是这个并不是我们想要的,选择新的策略,点击【编辑】。
⑿输入策略名称,将流入接口更改为无线接口。点击【确认】。
⒀复制粘贴的策略默认是禁用的,选择策略,点击鼠标右键,弹出菜单选择【设置状态】-【启用】。
⒁用相同的办法再复制粘贴并修改另一条隧道到无线接口的策略。这样总部601E防火墙的IPsec隧道修改就全部完成了。
分公司修改
我们在用向导建立IPsec隧道的时候就有着重讲过,两端内网地址设置的时候必须是完全一样,只是互为相反。现在我们在总部设置里增加了一个网段,那么在分公司设置里,也要同样增加一个网段。
①登录分公司80E,选择菜单【策略&对象】-【地址】,选择IPsec向导生成的远程地址对象,点击【克隆】。
②修改对象名称和IP地址就不再详细解说,相信大家都会了,选择远程地址组,点击【编辑】。
③远程地址组加上新建的地址对象就好了。什么?这就完了吗?全程都是在加地址对象,改地址组,VPN什么设置都没有做,这样也行?
④额。。。是的,实际上你只要在IPsec监控里把隧道断开再重启就好了。断不开?可以多点几次。
⑤保险起见,在分公司80E的命令行下先定义内网接口的源IP地址。再Ping总部防火墙的内网和无线接口IP,都可以通,说明修改是成功的。
⑥最后分公司的电脑也可以直接访问总部无线网段了。原来只能访问内网网段。修改成功。