华为USG6000v2 NAT模式下IPSEC IKE V1 实验

USG6000v2 NAT模式下IPSEC 实验

拓扑图

公网配置OSPF路由协议(网络要求能通就行)

一、 总部配置

(一)交换机配置

1、 总部交换机到防火墙网段 192.168.10.0/24

2、 交换机G0/0设置成access端口划分vlan 10,网关 192.168.10.1/24

3、 交换机G0/1设置成access端口划分vlan 20 ,网关192.168.20.1/24

4、 默认路由配置 ip rout 0.0.0.0 0.0.0.0 192.168.10.2

(二)防火墙配置

1、g/2口配置ip地址192.168.10.2/24

2、g0/1口配置公网ip 10.1.1.2/24,网关地址指向10.1.1.1/24

3、配置NAT上网策略

5、 配置策略放通流量,放通内网192.168.10.0/24 192.168.20.0/24的上网流量(我这里默认any 没有写明细网段)

6、 配置出口路由(ip route-static 0.0.0.0 0.0.0.0 10.1.1.1)、回包路由(指向vlan10的网关地址(ip route-static 192.168.20.0 255.255.255.0 192.168.10.1)(配置完成后可使用内网PC机ping 外网地址是否能通)


7、 配置IPSEC ,协商秘钥、版本等,(两端是NAT点到点的需要选择V1模式),且感兴趣流需要再NAT策略里配置"不做转换"。

点击高级选择V1,其他默认

8、 配置策略放通总部-分部IPSEC流量,这里需要配置四条策略,也可以简化成两条。

(1)、放通分部-总部IKE协商报文策略、(Untrust-local)

(2)、放通总部-分部IKE协商报文策略(Local-Untrust)

(3)、放通分部-总部的流量策略 (Untrust-turst)

(4)、放通总部-分部的流量策略(turst-untrust)

9、 配置总部到分部172.16.20.0/24的默认路由

10、 配置源区域trust 源地址192.168.20.0/24 到目的区域untrust 目的地址 172.16.20.0/24 ,不作转换的NAT

二、分部配置

(一)交换机配置

11、 分部交换机到防火墙网段 172.16.10.0/24

12、 交换机G0/0设置成access端口划分vlan 10,网关 172.16.10.1/24

13、 交换机G0/1设置成access端口划分vlan 20 ,网关172.16.20.1/24

14、 默认路由配置 ip rout 0.0.0.0 0.0.0.0 172.16.10.1

(二)防火墙配置

1、g/2口配置ip地址172.16.10.2/24

2、g0/1口配置公网ip 10.1.5.2/24,网关地址指向10.1.5.1/24

3、配置NAT上网策略

4、配置策略放通流量

5、配置指向外网网关的默认路由;内网回包路由,指向vlan10的网关地址(ip route-static 172.16...20.0 255.255.255.0 172.16.10.1)

6、配置IPSEC ,协商秘钥、版本等,



7、配置策略放通总部-分部IPSEC流量(也是做四条放通策略,镜像总部的配置,源目的区域地址调换即可)

(1)、放通总部-分部IKE协商报文策略、(Untrust-local)

(2)、放通分部-总部部IKE协商报文策略、(local-untrust)

(3)、放通总部到分部的IPsec流量访问策略(Untrust-trust)

(4)、放通分部-总部的IPsec流量访问策略(trust-untrust)

8、配置到总部192.168.20.0/24网段的静态路由

9、配置源区域trust 源地址172.16.20.0/24 到目的区域untrust 目的地址 192.168.20.0/24 ,不作转换的NAT


三、测试

(一)、查看IPsec 是否建立成功

(二)、PC8 ping PC9,查看总部和分部网段是否能够通讯

如有问题可以留言或者加群交流 478075018

相关推荐
D.....l19 小时前
Hi3861 OpenHarmony鸿蒙开发(嵌入式方向) (一)
华为·harmonyos
CryptoCrawler19 小时前
文件包含与下载漏洞
网络·安全
Whoami!19 小时前
4-5〔O҉S҉C҉P҉ ◈ 研记〕❘ WEB应用攻击▸远程文件包含漏洞
网络安全·信息安全·rfi
自我陶醉@19 小时前
计算机网络---网络层
网络·计算机网络·考研·学习方法·408·王道考研
专家大圣20 小时前
Bililive-go+cpolar:跨平台直播录制的远程管理方案
开发语言·网络·后端·golang·内网穿透·设计工具
某不知名網友20 小时前
Reactor 模式:高并发网络编程的事件驱动利器
网络·设计模式·php
德迅--文琪20 小时前
SSL 证书的重要性
网络·网络协议·ssl
2501_9159214321 小时前
TCP 抓包分析实战,从抓取到定位(命令、常见症状、排查流程与真机抓包补充)
网络·网络协议·tcp/ip·ios·小程序·uni-app·iphone
小苑同学21 小时前
研究生如何看懂文献?
人工智能·安全·网络安全·安全性测试
补三补四21 小时前
图卷积网络 (GCN)
网络·人工智能·深度学习·神经网络·算法·机器学习