华为USG6000v2 NAT模式下IPSEC IKE V1 实验

USG6000v2 NAT模式下IPSEC 实验

拓扑图

公网配置OSPF路由协议(网络要求能通就行)

一、 总部配置

(一)交换机配置

1、 总部交换机到防火墙网段 192.168.10.0/24

2、 交换机G0/0设置成access端口划分vlan 10,网关 192.168.10.1/24

3、 交换机G0/1设置成access端口划分vlan 20 ,网关192.168.20.1/24

4、 默认路由配置 ip rout 0.0.0.0 0.0.0.0 192.168.10.2

(二)防火墙配置

1、g/2口配置ip地址192.168.10.2/24

2、g0/1口配置公网ip 10.1.1.2/24,网关地址指向10.1.1.1/24

3、配置NAT上网策略

5、 配置策略放通流量,放通内网192.168.10.0/24 192.168.20.0/24的上网流量(我这里默认any 没有写明细网段)

6、 配置出口路由(ip route-static 0.0.0.0 0.0.0.0 10.1.1.1)、回包路由(指向vlan10的网关地址(ip route-static 192.168.20.0 255.255.255.0 192.168.10.1)(配置完成后可使用内网PC机ping 外网地址是否能通)


7、 配置IPSEC ,协商秘钥、版本等,(两端是NAT点到点的需要选择V1模式),且感兴趣流需要再NAT策略里配置"不做转换"。

点击高级选择V1,其他默认

8、 配置策略放通总部-分部IPSEC流量,这里需要配置四条策略,也可以简化成两条。

(1)、放通分部-总部IKE协商报文策略、(Untrust-local)

(2)、放通总部-分部IKE协商报文策略(Local-Untrust)

(3)、放通分部-总部的流量策略 (Untrust-turst)

(4)、放通总部-分部的流量策略(turst-untrust)

9、 配置总部到分部172.16.20.0/24的默认路由

10、 配置源区域trust 源地址192.168.20.0/24 到目的区域untrust 目的地址 172.16.20.0/24 ,不作转换的NAT

二、分部配置

(一)交换机配置

11、 分部交换机到防火墙网段 172.16.10.0/24

12、 交换机G0/0设置成access端口划分vlan 10,网关 172.16.10.1/24

13、 交换机G0/1设置成access端口划分vlan 20 ,网关172.16.20.1/24

14、 默认路由配置 ip rout 0.0.0.0 0.0.0.0 172.16.10.1

(二)防火墙配置

1、g/2口配置ip地址172.16.10.2/24

2、g0/1口配置公网ip 10.1.5.2/24,网关地址指向10.1.5.1/24

3、配置NAT上网策略

4、配置策略放通流量

5、配置指向外网网关的默认路由;内网回包路由,指向vlan10的网关地址(ip route-static 172.16...20.0 255.255.255.0 172.16.10.1)

6、配置IPSEC ,协商秘钥、版本等,



7、配置策略放通总部-分部IPSEC流量(也是做四条放通策略,镜像总部的配置,源目的区域地址调换即可)

(1)、放通总部-分部IKE协商报文策略、(Untrust-local)

(2)、放通分部-总部部IKE协商报文策略、(local-untrust)

(3)、放通总部到分部的IPsec流量访问策略(Untrust-trust)

(4)、放通分部-总部的IPsec流量访问策略(trust-untrust)

8、配置到总部192.168.20.0/24网段的静态路由

9、配置源区域trust 源地址172.16.20.0/24 到目的区域untrust 目的地址 192.168.20.0/24 ,不作转换的NAT


三、测试

(一)、查看IPsec 是否建立成功

(二)、PC8 ping PC9,查看总部和分部网段是否能够通讯

如有问题可以留言或者加群交流 478075018

相关推荐
Techer_Y7 小时前
云安全服务(参考自腾讯云工程师认证课程)
网络·云计算·腾讯云
cpsvps_net7 小时前
代理连接性能优化:提升网络效率的关键技术与实践
网络·性能优化
KKKlucifer7 小时前
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
网络·安全·web安全
qq_401700418 小时前
Qt UDP 网络编程详解
网络·网络协议·udp
Android出海8 小时前
Google Play账户与App突遭封禁?紧急应对与快速重构上架策略
android·网络·重构·新媒体运营·产品运营·内容运营
油泼辣子多加8 小时前
HTTP 请求体格式详解
网络·网络协议·http
范紫涵-19期-工职大9 小时前
虚拟机之CentOS、网络设置的有趣问题
linux·网络·centos
TeleostNaCl9 小时前
OpenWrt | 在 PPP 拨号模式下启用 IPv6 功能
网络·经验分享·智能路由器·ip
爱笑的眼睛1110 小时前
HarmonyOS 应用开发深入浅出:基于 Stage 模型与声明式 UI 的现代化状态管理实践
华为·harmonyos