Branch Office VPN > 通过 SNAT 配置入站 IPSec 传递

使用 SNAT 配置入站 IPSec 传递

默认情况下,XTM 设备配置为终止 XTM 设备自身上的所有入站 IPSec VPN 隧道。 可以配置 XTM 设备,以将入站 IPSec VPN 流量传递到另一个 VPN 端点,例如可信任网络或可选网络上的 VPN 分配器。

要进行此操作,必须禁用会将所有入站流量发送到 XTM 设备的内置 IPSec 策略。 然后,必须创建特定的 IPSec 策略来处理在 XTM 设备上或网络中的其他设备上终止的传入 VPN 流量。 可以在策略中使用静态 NAT (SNAT) 操作,将外部 IP 地址映射到网络上 VPN 端点的专用 IP 地址。

禁用内置 IPSec 策略

因为内置 IPSec 策略是隐藏策略,所以无法直接对其进行编辑。 必须在 VPN 全局设置中禁用此策略。

  1. 选择 VPN > VPN 设置
  2. 清除启用内置 IPSec 策略复选框。

添加 IPSec 策略

禁用内置 IPSec 策略之后,必须添加一个或多个 IPSec 数据包筛选器策略来处理传入 IPSec VPN 流量。

例如,如果 XTM 设备具有一个主要外部 IP 地址 203.0.113.2,以及一个次要外部 IP 地址 203.0.113.10,则可以使用 IPSec 策略中的 SNAT 操作将发送到次要外部 IP 地址的 IPSec 流量映射到 VPN 分配器的专用 IP 地址。 可以创建另一个策略以将所有其他传入 IPSec 流量发送到 XTM 设备。

这两个策略应如下所示:

策略 IPSec_to_VPN_concentrator

IPSec 连接为: 允许
自: Any-External
到: 203.0.113.10 --> 10.0.2.10(作为 SNAT 操作添加)

策略:IPSec_to_XTM_Device

IPSec 连接为: 允许
自: Any-External
到: Firebox

如果启用自动排序模式,则策略会自动以正确的优先级顺序进行排序,而且包含 SNAT 操作的 IPSec 策略在策略列表中的优先级高于其他 IPSec 策略。 这表示所有其目标与第一个 IPSec 策略中的 SNAT 规则不匹配的传入 IPSec 流量由第二个 IPSec 策略处理。

此示例中使用静态 NAT 将传入流量引导至内部 VPN 分配器。 也可以将 1-to-1 NAT 用于此目的。

请参阅

关于 全局 VPN 设置

配置 静态 NAT

关于 1-to-1 NAT

提供反馈  •   获得支持  •   全部产品文件  •   知识库