网络运维|防火墙的IPSecVPN典型应用案例

2020-06-11 17:49 作者：艾锑无限 浏览量：

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下支持NAT穿越IPSec配置实例，网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。

网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+

北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+

北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
设备同时充当IPSec和NAT网关

当总部与分支机构均需要通过NAT转换访问Internet，且总部与分支机构之间需要建立IPSec隧道安全通信的情况下，可以配置设备同时充当IPSec和NAT网关。

组网需求

如图10-14所示，总部通过USG_A与Internet连接，分支机构通过USG_B与Internet连接。

分支机构用户PC2可以主动发起建立IPSec隧道请求与总部用户PC1通信，且无需经过NAT转换。

所有可以公开访问的服务器均部署在总部，分支机构部署的服务器仅供分支机构使用，即总部无需主动发起建立IPSec隧道请求与分支机构通信。

分支机构用户和总部用户均需要通过NAT转换访问Internet。USG_A为总部的NAT设备，USG_B为分支机构的NAT设备。

图  设备同时充当IPSec和NAT网关 

配置思路

1. 完成USG_A和USG_B的基本配置、包括接口、转发策略、本地策略、路由的配置。

2. 在USG_A和USG_B上完成IPSec的配置。由于只有分支机构主动访问总部服务器，因此在配置USG_A时，无需指定“对端地址”。

3. 在USG_A和USG_B上完成源NAT的配置。访问Internet的数据流都要经过NAT转换，而经过IPSec隧道的数据流不需要经过NAT转换，故要在NAT配置中进行区分。

操作步骤

1. 配置USG_A的接口基本参数。

a. 选择“网络 > 接口 > 接口”。

b. 在“接口列表”中，单击GE0/0/1对应的。

c. 在“修改GigabitEthernet”界面中，配置如下：

· 安全区域：trust

· IP地址：10.0.0.1

· 子网掩码：255.255.255.0

d. 单击“应用”。

e. 在“接口列表”中，单击GE0/0/2对应的。

f. 在“修改GigabitEthernet”界面中，配置如下：

· 安全区域：untrust

· IP地址：200.0.0.1

· 子网掩码：255.255.255.0

g. 单击“应用”。

2. 配置USG_A的安全策略。

a. 配置Local安全区域和Untrust安全区域之间的安全策略。

. 选择“防火墙 > 安全策略 > 本地策略”。

i. 在“本地策略”中单击“新建”。配置如下参数：

· 源安全区域：untrust

· 源地址：200.0.1.0/24

· 动作：permit

ii. 单击“应用”。

a. 配置Trust安全区域和Untrust安全区域之间的安全策略。

i. 选择“防火墙 > 安全策略 > 转发策略”。

ii. 在“转发策略列表”中单击“新建”。配置如下参数。

· 源安全区域：trust

· 目的安全区域：untrust

· 源地址：10.0.0.0/24

· 目的地址：10.0.1.0/24

· 动作：permit

iii. 单击“应用”。

iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。

· 源安全区域：untrust

· 目的安全区域：trust

· 源地址：10.0.1.0/24

· 目的地址：10.0.0.0/24

· 动作：permit

v. 单击“应用”。

1. 参考1、2以及上面的表格，完成USG_B的基本配置。

2. 配置USG_A的IPSec隧道。

a. 选择“VPN > IPSec > IPSec”，单击“新建”，选择“场景”为“点到点”。

b. 配置USG_A的IPSec策略基本信息。由于只有分支用户主动访问总部服务器，因此在配置USG_A的IPSec策略基本信息时，无需配置“对端地址”，预共享密钥为abcde。

c. 在“待加密的数据流”中单击“新建”，按如下数据增加一条数据流规则。

d. 展开“安全提议”中的“高级”，按如下参数配置IPSec安全提议。

下图中所使用的安全提议参数全部为缺省配置，用户可以直接使用而不用逐一对照配置。如果实际应用场景中对安全提议参数有明确要求时，可以对安全提议参数进行修改，且隧道两端所使用的安全提议配置必须相同。

 
e. 单击“应用”，完成USG_A的IPSec配置。

3. 在USG_A上完成源NAT的配置。

a. 选择“防火墙 > NAT > 源NAT”。

b. 选择“NAT地址池”页签。

c. 在“NAT地址池列表”中，单击“新建”。

d. 在“新建NAT地址池”界面中，配置NAT地址池addresspool1，如图10-15所示。

图10-15  配置NAT地址池addresspool1 


e. 单击“应用”。

f. 选择“源NAT”页签。

g. 在“源NAT策略列表”中，单击“新建”。

在“新建源NAT”界面中，配置总部用户与分支机构用户通信时不进行NAT转换，

h. 单击“应用”。

i. 在“源NAT策略列表”中，单击“新建”。

在“新建源NAT”界面中，配置总部用户访问Internet时进行NAT转换，引用NAT地址池addresspool1，

j. 单击“应用”。

4. 配置到分支的缺省路由。

a. 选择“路由 > 静态 > 静态路由”。

b. 在“静态路由列表”中，单击“新建”，依次输入或选择各项参数，具体参数配置如下：

· 目的地址：0.0.0.0

· 掩码：0.0.0.0

· 下一跳：200.0.0.2

其他参数均为缺省值。

a. 单击“应用”。

1. 配置USG_B的IPSec隧道。

a. 选择“VPN > IPSec > IPSec”，单击“新建”，选择“场景”为“点到点”。

b. 配置USG_B的IPSec策略基本信息，并指定对端网关，预共享密钥为abcde。

c. 在“待加密的数据流”中单击“新建”，按如下数据增加一条数据流规则。

d. 展开“安全提议”中的“高级”，按如下参数配置IPSec安全提议。

本例中所使用的安全提议参数全部为缺省配置，用户可以直接使用而不用逐一对照配置。如果实际应用场景中对安全提议参数有明确要求时，可以对安全提议参数进行修改，且隧道两端所使用的安全提议配置必须相同。

 e. 单击“应用”。完成USG_B的IPSec配置。

2. 在USG_B上完成源NAT的配置。

a. 选择“防火墙 > NAT > 源NAT”。

b. 选择“NAT地址池”页签。

c. 在“NAT地址池列表”中，单击“新建”。

在“新建NAT地址池”界面中，配置NAT地址池addresspool1，

d. 单击“应用”。

e. 选择“源NAT”页签。

f. 在“源NAT策略列表”中，单击“新建”。

g. 在“新建源NAT”界面中，配置分支用户与总部机构用户通信时不进行NAT转换，

h. 单击“应用”。

i. 在“源NAT策略列表”中，单击“新建”。

在“新建源NAT”界面中，配置分支用户访问Internet时进行NAT转换，引用NAT地址池addresspool1，

j. 单击“应用”。

3. 配置到总部的缺省路由。

a. 选择“路由 > 静态 > 静态路由”。

b. 在“静态路由列表”中，单击“新建”，依次输入或选择各项参数，具体参数配置如下：

· 目的地址：0.0.0.0

· 掩码：0.0.0.0

· 下一跳：200.0.1.2

其他参数均为缺省值。

c. 单击“应用”。

以上文章由北京艾锑无限科技发展有限公司整理