求防火墙v7 ipsec vpn nat穿越的配置指导
- 0关注
- 1收藏,1598浏览
最佳答案
您好,请知:
以下是IPSEV VPN穿越NAT的案例,请参考:
https://zhiliao.h3c.com/theme/details/102915
实现环境是HCL模拟器的F1060 V7防火墙。
- 2020-08-31回答
- 评论(0)
- 举报
-
(0)
一、 组网需求:
两个Peer分别使用的是SecPath1000F,NAT设备使用SecPath100F。两局域网分别使用的是SecPath1000F的LoopBack0口来模拟。在两个防火墙之间,将建立IPSec隧道。100F的Internet出口端配置了NAT,保护其后网络对Internet不可见。两LAN之间通过IPSec隧道互访,在此情形下,必须采用IPSec野蛮模式与NAT穿越功能来实现IPSec隧道的建立。
二、 组网图
SecPath1000F:版本为Version 3.40, ESS 1622;
三、 配置步骤
1.SecPath1000F(中心)的主要配置:
sysname zhongxin
#
ike local-name fw1 //配置本端设备名称
#
firewall packet-filter enable
firewall packet-filter default permit
#
ike proposal 10 //设置IKE的策略(全部使用缺省策略)
#
ike peer wanxin //设置IKE设置预共享密钥的认证字
exchange-mode aggressive //配置IKE协商模式为野蛮模式
pre-shared-key h3c //密钥为:h3c(对端也必须一样)
id-type name //配置IKE协商过程中使用的ID为命名类型
remote-name fw2 //配置对端设备的ID
nat traversal //使能NAT穿越功能
#
ipsec proposal wanxin //创建一个名为“wanxin”的安全提议(全部使用缺省策略)
#
ipsec policy 1 10 isakmp //创建安全策略,协商方式为自动协商,也就是采用IKE的策略协商
security acl 3000 //引用下面设置的acl 3000
ike-peer wanxin //引用上面设置的“ike peer wanxin”
proposal 10 //引用上面设置的“ipsec proposal 10”
sa duration time-based 1500 //设置基于时间的生存周期为1500s
#
acl number 3000 //创建加密数据流(加密的是两LAN的网段,这个很关键)
rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0.0.255
rule 1 deny ip
#
interface GigabitEthernet0/0
ip address 1.1.1.1 255.255.255.0
ipsec policy 1 //在出接口上应用安全策略(只有应用了IPSec才能生效)
#
interface LoopBack0 //用一个回环口地址带模拟一个LAN地址
ip address 10.1.1.1 255.255.255.0
#
firewall zone untrust
add interface GigabitEthernet0/0
set priority 85
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 preference 60 //保证两Peer之间能够通信,从而协商IPSec参数,同时也触发加密流量
2.SecPath1000F(Peer2)的主要配置:
注:Peer2的配置与Peer1基本相同,故注释同上
sysname fenzhi
#
ike local-name fw2
#
firewall packet-filter enable
firewall packet-filter default permit
#
ike proposal 10
#
ike peer wanxin
exchange-mode aggressive
pre-shared-key h3c
id-type name
remote-name fw1
remote-address 1.1.1.1
nat traversal
#
ipsec proposal wanxin
#
ipsec policy 1 10 isakmp
security acl 3000
ike-peer wanxin
proposal 10
sa duration time-based 1500
#
acl number 3000
rule 0 permit ip source 10.2.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
rule 1 deny ip
#
interface GigabitEthernet0/0
ip address 2.2.1.1 255.255.255.0
ipsec policy 1
#
interface LoopBack0
ip address 10.2.2.2 255.255.255.0
#
firewall zone untrust
add interface GigabitEthernet0/0
set priority 5
#
ip route-static 0.0.0.0 0.0.0.0 2.2.2.2 preference 60
3.SecPath100F(NAT设备)的主要配置:
#
acl number 3000 //用acl定义需要nat的数据流
rule 0 permit ip source 10.2.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
interface Ethernet0/0
ip address 1.1.1.2 255.255.255.0
nat outbound 3000 //匹配的数据流的源地址将被转换成该接口的地址
#
interface Ethernet0/1
ip address 2.2.2.2 255.255.255.0
4.验证结果:
ping –a 10.2.2.2 10.1.1.1 //测试两LAN之间是否能通信
dis ike sa //查看IKE是否建立完成
dis ipsec sa //查看安全联盟的信息
dis ipsec statistica //查看安全报文的统计信息
dis nat session //查看是否有NAT转换信息
dis ike sa verbose //检查NAT穿越功能是否开启
四、 配置关键点
1.NAT穿越必须在IPSec野蛮模式下实现
2.必须采用命名的方式来标识Peer:发起端(分支)需要配置远端地址和名字,响应端只需要配置远端名字就可以;
3.其他关键点见注释。
- 2020-08-31回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论