默认情况下,XTM 设备配置为终止 XTM 设备自身上的所有入站 IPSec VPN 隧道。 可以配置 XTM 设备,以将入站 IPSec VPN 流量传递到另一个 VPN 端点,例如可信任网络或可选网络上的 VPN 分配器。
要进行此操作,必须禁用会将所有入站流量发送到 XTM 设备的内置 IPSec 策略。 然后,必须创建特定的 IPSec 策略来处理在 XTM 设备上或网络中的其他设备上终止的传入 VPN 流量。 可以在策略中使用静态 NAT (SNAT) 操作,将外部 IP 地址映射到网络上 VPN 端点的专用 IP 地址。
因为内置 IPSec 策略是隐藏策略,所以无法直接对其进行编辑。 必须在 VPN 全局设置中禁用此策略。
禁用内置 IPSec 策略之后,必须添加一个或多个 IPSec 数据包筛选器策略来处理传入 IPSec VPN 流量。
例如,如果 XTM 设备具有一个主要外部 IP 地址 203.0.113.2,以及一个次要外部 IP 地址 203.0.113.10,则可以使用 IPSec 策略中的 SNAT 操作将发送到次要外部 IP 地址的 IPSec 流量映射到 VPN 分配器的专用 IP 地址。 可以创建另一个策略以将所有其他传入 IPSec 流量发送到 XTM 设备。
这两个策略应如下所示:
策略 IPSec_to_VPN_concentrator
IPSec 连接为: 允许
自: Any-External
到: 203.0.113.10 --> 10.0.2.10(作为 SNAT 操作添加)
策略:IPSec_to_XTM_Device
IPSec 连接为: 允许
自: Any-External
到: Firebox
如果启用自动排序模式,则策略会自动以正确的优先级顺序进行排序,而且包含 SNAT 操作的 IPSec 策略在策略列表中的优先级高于其他 IPSec 策略。 这表示所有其目标与第一个 IPSec 策略中的 SNAT 规则不匹配的传入 IPSec 流量由第二个 IPSec 策略处理。
此示例中使用静态 NAT 将传入流量引导至内部 VPN 分配器。 也可以将 1-to-1 NAT 用于此目的。