Huawei-Firewall-Zentrale plus mehrere Niederlassungen IPSec-VPN-NAT-Traversal, VPN-Kern seitlich montierter Netzwerkfall, Befehlszeile und Webkonfiguration

Realisierungseffekt:

1. Die Zentrale und die Niederlassungen verfügen über feste IP-IPsec-VPN-Verbindungen. Die Netzwerksegmente 192.168.10.0 bis 192.168.20.0 und 192.168.30.0 können aufeinander zugreifen und auf das Internet zugreifen. Die VPN-Ausrüstung der Zentrale wird am Core-Switch umgangen und führt NAT-Traversal auf dem Egress-Router durch.

2. Der gegenseitige Zugriff zwischen den Filialen wird durch das VPN der Zentrale umgangen.

Konfiguration des AR1-Ausgangsrouters für den Hauptsitz:

dis aktuelle-Konfiguration
[V200R003C00]

ACL-Nummer 3000
Regel 5 IP-Quelle 192.168.10.0 0.0.0.255 verweigern Ziel 192.168.20.0 0.0.0.255
// VPN-Netzwerksegment entfernen erste
Regel 10 IP-Quelle 192.168.10.0 0.0.0.255 verweigern Ziel 192.168.30.0 0.0.0 .255
/ /Entfernen Sie zuerst das VPN-Netzwerksegment.
Regel 15 erlaubt IP-Quelle 192.168.10.0 0.0.0.255 //Um auf das externe Netzwerk zuzugreifen.
Regel 20 erlaubt IP-Quelle 172.16.0.0 0.0.0.255 //Um auf das externe Netzwerk zuzugreifen, müssen Sie sicherstellen, dass das VPN Der Host kann auf das öffentliche Netzwerk zugreifen

Schnittstelle GigabitEthernet0/0/0 //Zwei VPN-Traversal-Ports freigeben.
IP-Adresse 1.1.1.2 255.255.255.0
nat Server Protocol UDP Global Current-Interface 4500 Inside 172.16.0.2 4500
Nat Server Protocol UDP Global Current-Interface 500 Inside 172.16 .0.2 500
Nat ausgehend 3000

Schnittstelle GigabitEthernet0/0/1
IP-Adresse 10.0.0.1 255.255.255.0

IP Route-Static 0.0.0.0 0.0.0.0 1.1.1.1
IP Route-Static 172.16.0.0 255.255.255.0 10.0.0.2
IP Route-Static 192.168.10.0 255.255.255.0 10.0.0.2

Konfiguration des Hauptquartier-Core-Switches:

DHCP aktivieren

Schnittstelle Vlanif10
IP-Adresse 192.168.10.1 255.255.255.0
DHCP-Schnittstelle auswählen

Schnittstelle Vlanif100
IP-Adresse 172.16.0.1 255.255.255.0

Schnittstelle Vlanif999
IP-Adresse 10.0.0.2 255.255.255.0

Schnittstelle MEth0/0/1

Schnittstelle GigabitEthernet0/0/1
Port Link-Typ-Zugriffsport
Standard-VLAN 100

Schnittstelle GigabitEthernet0/0/2-
Port Link-Typ-Zugriffsport
Standard-VLAN 999

Schnittstelle GigabitEthernet0/0/3
Port Link-Typ-Zugriffsport
Standard-VLAN 10

ip route-static 192.168.30.0 255.255.255.0 172.16.0.2 // Leiten Sie das Netzwerksegment für den Zugriff auf das VPN vom internen Netzwerk zum VPN weiter.
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 // Mit dem externen Netzwerk verbinden
ip route-static 192.168.20.0 255.255.255.0 172.16.0.2 // Leiten Sie das Netzwerksegment des internen Netzwerks an, um über das VPN auf das VPN zuzugreifen

Alle drei Firewall-Richtlinien sind ohne Einschränkungen zulässig.

Konfiguration des Hauptquartiers FW1:

ACL-Nummer 3000
Regel 5 erlaubt IP-Quelle 192.168.10.0 0.0.0.255 Ziel 192.168.20.0 0.0.0.255
Regel 10 erlaubt IP-Quelle 192.168.30.0 0.0.0.255 Ziel 192.168.20.0 0.0.0.255

ACL-Nummer 3001
Regel 5 erlaubt IP-Quelle 192.168.10.0 0.0.0.255 Ziel 192.168.30.0 0.0.0.255
Regel 10 erlaubt IP-Quelle 192.168.20.0 0.0.0.255 Ziel 192.168.30.0 0.0.0.255

IPSec-Vorschlag prop27111711204
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256
IPSec-Vorschlag Prop28111045368
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256

Ike-Vorschlag Standard
-Verschlüsselungsalgorithmus AES-256 AES-192 AES-128
Dh Group14
Authentifizierungsalgorithmus Sha2-512 Sha2-384 Sha2-256
Authentifizierungsmethode Pre-Share-
Integritätsalgorithmus Hmac-Sha2-256
PRF Hmac-Sha2-256

Ike-Vorschlag 1
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256

Ike-Vorschlag 2
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256

ike peer ike271117112046
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 1
Remote-ID-Typ IP
Remote-ID 2.2.2.1
Lokale ID 1.1.1.2
DPD-Typ Periodisch
Remote-Adresse 2.2.2.1

ike peer ike281110453684
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 2
Remote-ID-Typ IP
Remote-ID 3.3.3.1
Lokale ID 1.1.1.2
DPD-Typ Periodisch
Remote-Adresse 3.3.3.1

IPSec-Richtlinie IPsec2711171120 1 ISAKMP-
Sicherheit ACL 3000
Ike-Peer Ike271117112046
Vorschlag Prop27111711204
Tunnel Local Applied-Interface-
Alias ​​zu GZ
SA-Triggermodus Automatisch
SA-Dauer verkehrsbasiert 10485760
SA-Dauer zeitbasiert 3600

IPSec-Richtlinie IPsec2711171120 2 ISAKMP-
Sicherheit ACL 3001
Ike-Peer Ike281110453684
Vorschlag Prop28111045368
Tunnel Local Applied-Interface-
Alias ​​​​to-SZ
SA Trigger-Modus Automatisch
SA-Dauer verkehrsbasiert 10485760
SA-Dauer zeitbasiert 3600

Schnittstelle GigabitEthernet1/0/0
Rückgängigmachen des Herunterfahrens
IP-Adresse 172.16.0.2 255.255.255.0
Dienstverwaltung Ping-Zulassung
IPSec-Richtlinie IPSec2711171120

Firewall-Zone lokal,
Priorität 100 festlegen

Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/0

Firewall-Zone nicht vertrauenswürdig,
Priorität 5 festlegen

Firewall-Zone dmz
setzt Priorität 50

IP-Route-Statik 0.0.0.0 0.0.0.0 172.16.0.1
IP-Route-Statik 192.168.10.0 255.255.255.0 172.16.0.1

WEB-Konfiguration von FW1:

2, einer geht zu sz, einer geht zu gz

Um sicherzustellen, dass die beiden Niederlassungen über den Hauptknoten kommunizieren können, müssen zum Hinzufügen dieses Netzwerksegments beide VPNs hinzugefügt werden:

FW2-Konfiguration:

ACL-Nummer 3000
Regel 5 IP-Quelle zulassen 192.168.20.0 0.0.0.255 Ziel 192.168.10.0 0.0.0.255
Regel 10 IP-Quelle zulassen 192.168.20.0 0.0.0.255 Ziel 192.168.30.0 0.0.0.255
Regel 15 verweigern IP-Quelle 192.168.20.0 0.0.0.255 Ziel 192.168.10.0 0.0.0.255

IPSec-Vorschlag prop27111785448
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256

Ike-Vorschlag Standard
-Verschlüsselungsalgorithmus AES-256 AES-192 AES-128
Dh Group14
Authentifizierungsalgorithmus Sha2-512 Sha2-384 Sha2-256
Authentifizierungsmethode Pre-Share-
Integritätsalgorithmus Hmac-Sha2-256
PRF Hmac-Sha2-256

Ike-Vorschlag 1
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256

ike peer ike271117854480
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 1
Remote-ID-Typ IP
Remote-ID 1.1.1.2
Lokale ID 2.2.2.1
DPD-Typ periodisch
Remote-Adresse 1.1.1.2

IPSec-Richtlinie IPsec2711178542 1 ISAKMP-
Sicherheit ACL 3000
Ike-Peer Ike271117854480
Vorschlag Prop27111785448
Tunnel Local Applied-Interface-
Alias ​​​​to-zongbu SA
Trigger-Modus Automatisch SA
-Dauer verkehrsbasiert 10485760 SA
-Dauer zeitbasiert 3600

Schnittstelle GigabitEthernet1/0/0
Herunterfahren rückgängig machen
IP-Adresse 192.168.20.1 255.255.255.0
DHCP-Schnittstelle auswählen

Schnittstelle GigabitEthernet1/0/1
Rückgängigmachen des Herunterfahrens
IP-Adresse 2.2.2.1 255.255.255.0
Dienstverwaltung Ping-Zulassung
IPSec-Richtlinie IPSec2711178542

Schnittstelle GigabitEthernet1/0/6
Herunterfahren rückgängig machen

Firewall-Zone lokal,
Priorität 100 festlegen

Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/0

Firewall-Zone nicht vertrauenswürdig,
Priorität 5 festlegen,
Schnittstelle GigabitEthernet1/0/1 hinzufügen

Firewall-Zone dmz
setzt Priorität 50

IP Route-Static 0.0.0.0 0.0.0.0 2.2.2.2

Sicherheitsrichtlinien-
Standardaktionserlaubnis

richtlinienbasierte Route

nat-policy
Regelname VPN
Quellzone Vertrauen Zielzone
Untrust
Quelladresse 192.168.20.0 Maske 255.255.255.0
Zieladresse 192.168.10.0 Maske 255.255.255.0
Zieladresse 192.168.30.0 Maske 255.255.255.0
Aktion No-Nat-
Regelname Internet
Quellzone Vertrauen
Zielzone Untrust
Aktion Quelle-Nat Easy-IP

WEB-Konfiguration von FW2:

Der letzte muss manuell zum Netzwerksegment hinzugefügt werden, das zu sz führt.

NAT-Konfiguration:

Das VPN, das kein NAT macht, muss oben platziert werden.

Dasjenige, das zu sz geht, muss ebenfalls hinzugefügt werden. Insgesamt gibt es zwei Netzwerksegmente.

Das NAT für das externe Netzwerk

Im Bild wird die VPN-Richtlinie nicht in NAT konvertiert und als erste oben platziert, und die Internet-NAT-Richtlinie wird als zweite platziert.

Nachdem die Internet-NAT-Konfiguration abgeschlossen ist, gibt es eine zusätzliche Adresse, die nicht verschlüsselt ist:

FW3-Konfiguration:

ACL-Nummer 3000
Regel 5 erlaubt IP-Quelle 192.168.30.0 0.0.0.255 Ziel 192.168.10.0 0.0.0.255
Regel 10 erlaubt IP-Quelle 192.168.30.0 0.0.0.255 Ziel 192.168.20.0 0.0.0.255

IPSec-Vorschlag prop28111041145
Kapselungsmodus Auto
ESP-Authentifizierungsalgorithmus SHA2-256
ESP-Verschlüsselungsalgorithmus AES-256

Ike-Vorschlag Standard
-Verschlüsselungsalgorithmus AES-256 AES-192 AES-128
Dh Group14
Authentifizierungsalgorithmus Sha2-512 Sha2-384 Sha2-256
Authentifizierungsmethode Pre-Share-
Integritätsalgorithmus Hmac-Sha2-256
PRF Hmac-Sha2-256

Ike-Vorschlag 1
Verschlüsselungsalgorithmus AES-256
dh Group14
Authentifizierungsalgorithmus SHA2-256
Authentifizierungsmethode Pre-Share
-Integritätsalgorithmus hmac-sha2-256
prf hmac-sha2-256

ike peer ike281110411459
Exchange-Modus Auto
Pre-Shared-Key Adminadmin
Ike-Vorschlag 1
Remote-ID-Typ IP
Remote-ID 1.1.1.2
Lokale ID 3.3.3.1
DPD-Typ periodisch
Remote-Adresse 1.1.1.2

IPSec-Richtlinie IPsec2811104114 1 ISAKMP-
Sicherheit ACL 3000
Ike-Peer Ike281110411459
Vorschlag Prop28111041145
Tunnel Local Applied-Interface-
Alias ​​​​zu BJ SA
-Triggermodus Automatisch
SA-Dauer verkehrsbasiert 10485760
SA-Dauer zeitbasiert 3600

Schnittstelle GigabitEthernet0/0/0
Herunterfahren rückgängig machen
IP-Bindung VPN-Instanz Standard-
IP-Adresse 10.1.1.10 255.255.255.0
Alias ​​GE0/METH
Dienstverwaltung https-Zulassung

Schnittstelle GigabitEthernet1/0/1
Herunterfahren rückgängig machen
IP-Adresse 192.168.30.1 255.255.255.0
Service-Verwaltung Ping Erlaubnis
DHCP Schnittstelle auswählen

Schnittstelle Virtual-if0

Schnittstelle NULL0

Firewall-Zone lokal,
Priorität 100 festlegen

Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/1

Firewall-Zone nicht vertrauenswürdig,
Priorität 5 festlegen,
Schnittstelle GigabitEthernet1/0/0 hinzufügen

Firewall-Zone dmz
setzt Priorität 50

IP Route-Static 0.0.0.0 0.0.0.0 3.3.3.3

Sicherheitsrichtlinien-
Standardaktionserlaubnis

nat-policy
Regelname to-vpn
Quellzone vertrauen
Zielzone nicht vertrauenswürdig
Quelladresse 192.168.30.0 Maske 255.255.255.0
Zieladresse 192.168.10.0 Maske 255.255.255.0
Zieladresse 192.168.20.0 Maske 255.255.255.0
Aktion no-nat
Regelname to-internet
Quellzone Vertrauen
Zielzone Untrust
Quelladresse 192.168.30.0 Maske 255.255.255.0
Aktion Quell-Nat Easy-IP

FW3-Webkonfiguration:

Das letzte Netzwerksegment muss manuell hinzugefügt werden

NAT-Konfiguration:

Identisch mit der GZ-Branch-Konfiguration

Gehen Sie online zu NAT und notieren Sie das spezifische Netzwerksegment (anders als der GZ-Zweig).

Nach dem Schreiben des spezifischen Netzwerksegments bei NAT auf FW3 gibt es im VPN kein zusätzliches Netzwerksegment wie den gz-Zweig.