WSG上网行为管理(WFilter NGF)既可以做网关部署,也可以做网桥部署。在网桥部署模式下,WSG的IPSec VPN和OpenVPN一样是可用的,可以实现单臂模式的VPN组网。网络结构如下图:
本文将结合WSG介绍如何实现IPSec VPN的单臂部署。
1. 首先,要在防火墙(路由器)配置端口映射。
把IPSec的端口(UDP 500和UDP 4500)映射到WSG上。如图:
2. 在WSG上配置IPSec隧道
隧道的配置参数要和对端IPSec的参数一致。
参数配置正确后,应用新配置,即可连接到对端IPSec隧道。
3. 配置静态路由表
在单臂部署模式下,客户机的网关并不是指向WSG,所以需要在网关(三层交换机或者路由器)上配置路由表转发,把对端网段的数据包重定向到WSG网桥。如图:
经过上述配置后,数据包的路径是这样的:
客户机往对端网段的数据包发到客户机的网关(三层交换机或者路由器)
网关根据静态路由表,把数据包转发到WSG网桥。
WSG把该数据包通过IPSec隧道发到对端IPSec。
对端返回的数据包经过IPSec隧道发到WSG。
WSG再把数据包转发给客户机。
这样就完成了数据包的闭环传输。
