网络运维|防火墙上支持NAT穿越的IPsec的配置

2020-06-11 17:39 作者：艾锑无限 浏览量：

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下支持NAT穿越IPSec配置实例，网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。

网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+

北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+

北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

支持NAT穿越的IPSec隧道

在实际组网应用中，如果IPSec隧道发起者位于一个私网内部，而它希望穿越网关设备与远端响应者之间直接建立一条IPSec隧道，这种情况会对部署IPSec VPN网络造成障碍。这就需要支持NAT穿越的IPSec隧道。

组网需求

如图10-11所示，分支机构员工需要访问总部内部的服务器。由于服务器信息较机密，而且数据经过Internet传输不安全，因此需要穿越NAT网关USG_B在USG_A与USG_C之间建立IPSec隧道，对传输数据进行加密。

图10-11  支持NAT穿越的IPSec隧道组网图 

配置思路

1. 完成USG_A、USG_B和USG_C的基本配置、包括接口、转发策略、本地策略、路由的配置。

2. 在USG_B上完成源NAT的配置。

3. 在USG_A和USG_C上完成IPSec的配置，需要注意的是在配置安全提议时要开启NAT穿越功能。

操作步骤

1. 配置USG_A的接口基本参数。

a. 选择“网络 > 接口 > 接口”。

b. 在“接口列表”中，单击GE0/0/1对应的。

c. 在“修改GigabitEthernet”界面中，配置如下：

· 安全区域：trust

· IP地址：192.168.0.1

· 子网掩码：255.255.255.0

d. 单击“应用”。
e. 在“接口列表”中，单击GE0/0/2对应的。

f. 在“修改GigabitEthernet”界面中，配置如下：

· 安全区域：untrust

· IP地址：200.1.1.1

· 子网掩码：255.255.255.0

2. 配置USG_A的安全策略。

a. 配置Local安全区域和Untrust安全区域之间的安全策略。

. 选择“防火墙 > 安全策略 > 本地策略”。

i. 在“本地策略”中单击“新建”。配置如下参数：

· 源安全区域：untrust


· 源地址：202.1.1.0/24

· 动作：permit

ii. 单击“应用”。

a. 配置Trust安全区域和Untrust安全区域之间的安全策略。

i. 选择“防火墙 > 安全策略 > 转发策略”。

ii. 在“转发策略列表”中单击“新建”。配置如下参数。

· 源安全区域：trust

· 目的安全区域：untrust

· 源地址：192.168.0.0/24

· 目的地址：192.168.1.0/24

· 动作：permit

iii. 单击“应用”。

iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。

· 源安全区域：untrust

· 目的安全区域：trust

· 源地址：192.168.1.0/24

· 目的地址：192.168.0.0/24

· 动作：permit

v. 单击“应用”。

1. 参考1、2以及上面的表格，完成USG_B和USG_C的基本配置。

2. 在USG_B上完成源NAT的配置，使分支机构中的用户使用NAT地址池中的公网IP地址访问Internet。

a. 选择“防火墙 > NAT > 源NAT”。

b. 选择“NAT地址池”页签。

c. 在“NAT地址池列表”中，单击“新建”。

在“新建NAT地址池”界面中，配置NAT地址池addresspool1，

d. 单击“应用”。

e. 选择“源NAT”页签。

f. 在“源NAT策略列表”中，单击“新建”。

在“新建源NAT”界面中，配置Trust与Untrust域间的源NAT，引用NAT地址池addresspool1，

g. 单击“应用”。

3. 配置USG_A的IPSec隧道。

a. 选择“VPN > IPSec > IPSec”，单击“新建”，选择“场景”为“点到点”。

b. 配置USG_A的IPSec策略基本信息。

由于对端网关NAT转换后的公网地址不固定，因此不指定对端网关地址。此时，只能由分支用户来访问总部，而总部用户不能主动访问分支。

c. 在“待加密的数据流”中单击“新建”，按如下数据增加一条数据流规则。

d. 展开“安全提议”中的“高级”，按如下参数配置IPSec安全提议。

本例中所使用的安全提议参数全部为缺省配置（见下图），用户可以直接使用而不用逐一对照配置。如果实际应用场景中对安全提议参数有明确要求时，可以对安全提议参数进行修改，且隧道两端所使用的安全提议配置必须相同。

 e. 单击“应用”。完成USG_A的配置。

4. 配置USG_C的IPSec隧道。

a. 配置USG_C的IPSec策略基本信息，并指定对端网关，预共享密钥为abcde。

b. 在“待加密的数据流”中单击“新建”，按如下数据增加一条数据流规则。
 
c. 展开“安全提议”中的“高级”，按如下参数配置IPSec安全提议。

本例中所使用的安全提议参数全部为缺省配置，用户可以直接使用而不用逐一对照配置。如果实际应用场景中对安全提议参数有明确要求时，可以对安全提议参数进行修改，且隧道两端所使用的安全提议配置必须相同。
 
d. 单击“应用”。完成USG_C的配置。
 
以上文章由北京艾锑无限科技发展有限公司整理