USG6000v2 NAT模式下IPSEC 实验
拓扑图
公网配置OSPF路由协议(网络要求能通就行)
一、 总部配置
(一)交换机配置
1、 总部交换机到防火墙网段 192.168.10.0/24
2、 交换机G0/0设置成access端口划分vlan 10,网关 192.168.10.1/24
3、 交换机G0/1设置成access端口划分vlan 20 ,网关192.168.20.1/24
4、 默认路由配置 ip rout 0.0.0.0 0.0.0.0 192.168.10.2
(二)防火墙配置
1、g/2口配置ip地址192.168.10.2/24
2、g0/1口配置公网ip 10.1.1.2/24,网关地址指向10.1.1.1/24
3、配置NAT上网策略
5、 配置策略放通流量,放通内网192.168.10.0/24 192.168.20.0/24的上网流量(我这里默认any 没有写明细网段)
6、 配置出口路由(ip route-static 0.0.0.0 0.0.0.0 10.1.1.1)、回包路由(指向vlan10的网关地址(ip route-static 192.168.20.0 255.255.255.0 192.168.10.1)(配置完成后可使用内网PC机ping 外网地址是否能通)
7、 配置IPSEC ,协商秘钥、版本等,(两端是NAT点到点的需要选择V1模式),且感兴趣流需要再NAT策略里配置"不做转换"。
点击高级选择V1,其他默认
8、 配置策略放通总部-分部IPSEC流量,这里需要配置四条策略,也可以简化成两条。
(1)、放通分部-总部IKE协商报文策略、(Untrust-local)
(2)、放通总部-分部IKE协商报文策略(Local-Untrust)
(3)、放通分部-总部的流量策略 (Untrust-turst)
(4)、放通总部-分部的流量策略(turst-untrust)
9、 配置总部到分部172.16.20.0/24的默认路由
10、 配置源区域trust 源地址192.168.20.0/24 到目的区域untrust 目的地址 172.16.20.0/24 ,不作转换的NAT
二、分部配置
(一)交换机配置
11、 分部交换机到防火墙网段 172.16.10.0/24
12、 交换机G0/0设置成access端口划分vlan 10,网关 172.16.10.1/24
13、 交换机G0/1设置成access端口划分vlan 20 ,网关172.16.20.1/24
14、 默认路由配置 ip rout 0.0.0.0 0.0.0.0 172.16.10.1
(二)防火墙配置
1、g/2口配置ip地址172.16.10.2/24
2、g0/1口配置公网ip 10.1.5.2/24,网关地址指向10.1.5.1/24
3、配置NAT上网策略
4、配置策略放通流量
5、配置指向外网网关的默认路由;内网回包路由,指向vlan10的网关地址(ip route-static 172.16...20.0 255.255.255.0 172.16.10.1)
6、配置IPSEC ,协商秘钥、版本等,
7、配置策略放通总部-分部IPSEC流量(也是做四条放通策略,镜像总部的配置,源目的区域地址调换即可)
(1)、放通总部-分部IKE协商报文策略、(Untrust-local)
(2)、放通分部-总部部IKE协商报文策略、(local-untrust)
(3)、放通总部到分部的IPsec流量访问策略(Untrust-trust)
(4)、放通分部-总部的IPsec流量访问策略(trust-untrust)
8、配置到总部192.168.20.0/24网段的静态路由
9、配置源区域trust 源地址172.16.20.0/24 到目的区域untrust 目的地址 192.168.20.0/24 ,不作转换的NAT
三、测试
(一)、查看IPsec 是否建立成功
(二)、PC8 ping PC9,查看总部和分部网段是否能够通讯
如有问题可以留言或者加群交流 478075018