Bei der ersten Methode verfügt der Filialausgang über NAT-Geräte und die Zentrale verwendet eine Vorlage. Die externe Leitung der Zentrale hat eine feste Adresse, und der Filialausgang benötigt keine feste Adresse.
Wenn die Zweigstelle eine feste Adresse hat und die Zentrale die Aushandlung der Peer-IP-Adresse geschrieben hat, müssen UDP 500 und UDP 4500 dem entsprechenden Port des NAT-Server-Ports zugeordnet werden, der dem ipsecvpn-Gerät in den Egress-NAT-Einstellungen entspricht.
Hauptkonfiguration:
Alle Standardrichtlinien sind zulässig. Um Einzelheiten zum Aktivieren der Richtlinie zu erfahren, können Sie warten und dann den Befehl „dis firewall session table ver“ verwenden, um die standardmäßige aktive Genehmigung
der Sicherheitsrichtlinie anzuzeigen.
i.配置接口IP地址。
system-view
[sysname] sysname FW_A
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] IP-Adresse 10.1.1.1 24
[FW_A-GigabitEthernet1/0/1] beenden
[FW_A] Schnittstelle GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] IP-Adresse 1.1.2.1 24
[FW_A-GigabitEthernet1/0/2] beendet
ii. Fügen Sie die Schnittstelle zur entsprechenden Sicherheitszone hinzu.
[FW_A] Firewall-Zonenvertrauen
[FW_A-zone-trust] Schnittstelle GigabitEthernet 1/0/1 hinzufügen
[FW_A-zone-trust] beenden
[FW_A] Firewall-Zone nicht vertrauen
[FW_A-zone-untrust] Schnittstelle GigabitEthernet 1/0/2 hinzufügen
[FW_A-zone-untrust] beendet
c. Konfigurieren Sie die nächste Hop-Adresse der Standardroute zu 1.1.2.2 als öffentliche Netzwerkadresse
[FW_A] ip route-static 0.0.0.0 0 1.1.2.2
2. Konfigurieren Sie IPSec auf FW_A.
a. Definieren Sie den geschützten Datenfluss.
[FW_A] acl 3000
[FW_A-acl-adv-3000] Regel 5 erlaubt IP-Quelle 10.1.1.0 0.0.0.255 Ziel 10.1.2.0 0.0.0.255
b. Konfigurieren Sie den IPSec-Sicherheitsvorschlag tran1. Verwenden Sie Standardparameter.
[FW_A] ipsec-Vorschlag tran1
[FW_A-ipsec-proposal-tran1] esp-Authentifizierungsalgorithmus sha2-256 //
[FW_A-ipsec-proposal-tran1] esp-Verschlüsselungsalgorithmus aes-256 // Der Standardwert ist
[FW_A -ipsec- Proposal-tran1] beendet
c. Konfigurieren Sie den IKE-Sicherheitsvorschlag. Verwenden Sie Standardparameter.
[FW_A] ike Proposal 10
[FW_A-ike-proposal-10] Authentication-Method Pre-Share //Der Standardwert ist
[FW_A-ike-proposal-10] prf hmac-sha2-256 //Der Standardwert ist
[FW_A-ike -proposal-10] Encryption-Algorithm AES-256 // Der Standardwert ist
[FW_A-ike-proposal-10] dh group14 // Der Standardwert ist
[FW_A-ike-proposal-10] Integrity-Algorithm hmac-sha2-256 / /Der Standardwert ist
[FW_A-ike-proposal-10] quit
d.配置IKE Peer.
[FW_A] ike peer c
[FW_A-ike-peer-c] ike-proposal 10
[FW_A-ike-peer-c] pre-shared-key admin123
[FW_A-ike-peer-c] quit
e.配置IPSec策略模板temp.
[FW_A] ipsec-Richtlinienvorlage temp 1
[FW_A-ipsec-policy-templet-temp-1] Sicherheits-ACL 3000
[FW_A-ipsec-policy-templet-temp-1] Vorschlag tran1
[FW_A -ipsec-policy-templet-temp-1] ike-peer c
[FW_A-ipsec-policy-templet-temp-1] beendet
f. Erstellen Sie eine IPSec-Richtlinie und verweisen Sie auf die temporäre IPSec-Richtlinienvorlage.
[FW_A] IPSec-Richtlinienzuordnung1 10 isakmp-Vorlagentemp
g. Wenden Sie die IPSec-Richtliniengruppenzuordnung1 auf der Schnittstelle GigabitEthernet 1/0/2 an.
[FW_A] Schnittstelle GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] IPSec-Richtlinienzuordnung1
[FW_A-GigabitEthernet1/0/2] beendet
3. Konfigurieren Sie die Grundkonfiguration von FW_C. a. Konfigurieren Sie die IP-Adresse der Schnittstelle und fügen Sie die Schnittstelle zur Domäne hinzu.
Bitte konfigurieren Sie die IP-Adresse der Schnittstelle gemäß den Daten in Abbildung 1.
Fügen Sie die Schnittstelle GigabitEthernet 1/0/1 zur Vertrauenszone
und die Schnittstelle GigabitEthernet 1/0/2 zur Unvertrauenswürdigen Zone hinzu.
Detaillierte Schritte finden Sie in der Konfiguration von FW_A.
c. Konfigurieren Sie statisches Routing. Die nächste Hop-Adresse lautet 10.1.5.1. Exportieren Sie die Routing-Adresse
IP Route-Static 0.0.0.0 0.0.0.0 10.1.5.1
4. Konfigurieren Sie die IPSec-Richtlinie auf FW_C. a. Definieren Sie den geschützten Datenfluss.
[FW_C] acl 3000
[FW_C-acl-adv-3000] Regel 5 erlaubt IP-Quelle 10.1.2.0 0.0.0.255 Ziel 10.1.1.0 0.0.0.255
b. Konfigurieren Sie den IPSec-Sicherheitsvorschlag tran1. Verwenden Sie Standardparameter.
[FW_C] IPSec Proposal Tran1
[FW_C-IPSec-Proposal-Tran1] ESP Authentication-Algorithm Sha2-256 // Der Standardwert ist
[FW_C-IPSec-Proposal-Tran1] ESP Encryption-Algorithm Aes-256 // Der Standardwert ist
[FW_C -ipsec-proposal-tran1] beenden
c. Konfigurieren Sie den IKE-Sicherheitsvorschlag. Verwenden Sie Standardparameter.
[FW_C] ike-Vorschlag 10
[FW_C-ike-proposal-10] Authentication-Method Pre-Share //Der Standardwert ist
[FW_C-ike-proposal-10] prf hmac-sha2-256 //Der Standardwert ist
[FW_C-ike -proposal-10] Verschlüsselungsalgorithmus aes-256 // Der Standardwert ist
[FW_C-ike-proposal-10] dh group14 // Der Standardwert ist
[FW_C-ike-proposal-10] Integritätsalgorithm hmac-sha2-256 / /Der Standardwert ist
[FW_C-ike-proposal-10] quit
d.配置IKE Peer.
[FW_C] ike peer a
[FW_C-ike-peer-a] ike-proposal 10
[FW_C-ike-peer-a] remote-address 1.1.2.1
[FW_C-ike-peer-a] pre -shared-key admin123
[FW_C-ike-peer-a] beendet
e.Infrastructure IPSecPolicyMap1
[FW_C] IPSec-Richtlinienkarte1 10 isakmp
[FW_C-ipsec-policy-isakmp-map1-10] Sicherheits-ACL 3000
[FW_C-ipsec-policy-isakmp-map1-10] Vorschlag tran1
[FW_C-ipsec - Richtlinie - isakmp - map1 - 10 ] ike - peer a
[ FW_C - ipsec - Policy - isakmp - map1 - 10 ] beendet
f. Wenden Sie die IPSec-Richtliniengruppenzuordnung1 auf der Schnittstelle GigabitEthernet 1/0/2 an.
[FW_C] Schnittstelle GigabitEthernet 1/0/2
[FW_C-GigabitEthernet1/0/2] IPSec-Richtlinienzuordnung1
[FW_C-GigabitEthernet1/0/2] beendet
c. Konfiguration des ausgehenden Routers.
ACL-Nummer 2000
Regel 5 Genehmigungsquelle 10.1.2.0 0.0.0.255
Schnittstelle GigabitEthernet0/0/0
IP-Adresse 10.1.5.1 255.255.255.0
Schnittstelle GigabitEthernet0/0/1
IP-Adresse 1.1.5.1 255.255.255.0
nat ausgehend 2000
IP Route-Static 0.0.0.0 0.0.0.0 1.1.5.2
IP Route-Static 10.1.2.0 255.255.255.0 10.1.5.2
Ergebnisüberprüfung
1. Nachdem die Konfiguration abgeschlossen ist, initiiert PC2 den Zugriff, und dann können PC1 und PC2 aufeinander zugreifen. PC2 kann auch auf das öffentliche Netzwerk zugreifen.
2. PC2 kann 1.1.2.1 von FW_A anpingen und den NAT-Übersetzungssitzungseintrag auf FW_B anzeigen.
<FW_B> Firewall-Sitzungstabelle anzeigen
Aktuelle Gesamtsitzungen: 2
udp VPN:public --> public 10.1.5.2:500[1.1.5.1:2048]–>1.1.2.1:500
udp VPN:public --> public 10.1.5.2 :4500[1.1.5.1:2048]–>1.1.2.1:4500
3. Die entsprechende IKE SA kann auf der Firewall FW_A der Zentrale eingesehen werden.
<FW_A> zeigt die
IKE SA-Informationen an:
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
83887864 1.1.5.1:500 RD|A v2:2 IP 1.1.5.1
83887652 1.1.5.1:500 RD|A v2:1 IP 1.1.5.1
Anzahl der IKE SA: 2
Flaggenbeschreibung:
RD–READY ST–STAYALIVE RL–REPLACED FD–FADING TO–TIMEOUT
HRT–HEARTBEAT LKG–LAST BEKANNT GUT SEQ NR. BCK–BACKUP
M–ACTIVE S–STANDBY A–ALONE NEG–VERHANDLUNG
4. FW_C im Zweig kann die IKE-SA anzeigen, deren Peer die Zentrale ist. FW_C ist der Initiator und das Flag ist ST.
<FW_C> zeigt wie
IKE SA-Informationen an:
Conn-ID Peer VPN Flag(s) Phase RemoteType RemoteID
62887864 1.1.2.1:500 RD|ST|A v2:2 IP 1.1.2.1
62887652 1.1.2.1:500 RD|ST|A v2:1 IP 1.1.2.1
Anzahl der IKE SA: 2
Flaggenbeschreibung:
RD–READY ST–STAYALIVE RL–REPLACED FD–FADING TO–TIMEOUT
HRT–HEARTBEAT LKG–LAST BEKANNT GUT SEQ NR. BCK–BACKUP
M–ACTIVE S–STANDBY A–ALONE NEG–VERHANDLUNG
5. Ein Paar bidirektionaler IPSec-SAs kann auf der Haupt-Firewall FW_A angezeigt werden, die dem Zweig FW_C entspricht.
<FW_A> ipsec sa short anzeigen
Aktuelle ipsec sa num:2
Spu-Board-Steckplatz 1, CPU 1 IPSec-SA-Informationen:
Anzahl der SAs:2
Src-Adresse Dst-Adresse SPI-VPN-Protokollalgorithmus
1.1.2.1 1.1.5.1 3923280450 ESP E:AES-256 A:SHA2_256_128
1.1.5.1 1.1.2.1 2676437093 ESP E:AES-256 A:SHA2_256_128
6. Ein Paar bidirektionaler IPSec-SAs kann auf dem Zweigknoten FW_C angezeigt werden. <FW_C> ipsec sa short anzeigen
Aktuelle ipsec sa num:2
Spu-Board-Steckplatz 1, CPU 1 IPSec-SA-Informationen:
Anzahl der SAs: 4
Src-Adresse Dst-Adresse SPI-VPN-Protokollalgorithmus
10.1.5.2 1.1.2.1 2179965693 ESP E:AES-256 A:SHA2_256_128
1.1.2.1 10.1.5.2 3813759530 ESP E:AES-256 A:SHA2_256_128
Die zweite Methode besteht in der Verwendung von VPN und NAT, was bedeutet, dass der Computer über ein Firewall-Gerät mit dem VPN der Zentrale kommunizieren und auf das externe Netzwerk zugreifen kann.
FW_A Hauptkonfiguration:
ACL-Nummer 3000
Regel 5 erlaubt IP-Quelle 192.168.0.0 0.0.0.255 Ziel 172.16.0.0 0.0.0.255
IPSec-Vorschlag pro1
transfrom insb
wie Vorschlag 10
ike peer fenbu_1
pre-shared-key admin
ike-proposal 10
nat traversal
IPSec-Richtlinienvorlage temp1 1
Sicherheit ACL 3000
Ike-Peer Fenbu_1
Vorschlag Pro1
IPSec-Richtlinie Policy1 1 isakmp-Vorlage temp1
Schnittstelle GigabitEthernet1/0/0
Herunterfahren rückgängig machen
IP-Adresse 1.1.1.1 255.255.255.0
Dienstverwaltung Ping Genehmigung
IPSec-Richtlinie Richtlinie1
Schnittstelle GigabitEthernet1/0/1
Herunterfahren rückgängig machen
IP-Adresse 192.168.0.1 255.255.255.0
Service-Verwaltung Ping Erlaubnis
DHCP Schnittstelle auswählen
Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/1
Firewall-Zone nicht vertrauenswürdig,
Priorität 5 festlegen,
Schnittstelle GigabitEthernet1/0/0 hinzufügen
IP Route-Static 0.0.0.0 0.0.0.0 1.1.1.2
FW_B Hauptkonfiguration:
ACL-Nummer 2000
Regel 5 Genehmigungsquelle 172.16.0.0 0.0.0.255
ACL-Nummer 3000
Regel 5 erlaubt IP-Quelle 172.16.0.0 0.0.0.255 Ziel 192.168.0.0 0.0.0.255
IPSec-Vorschlag pro1
transfrom insb
wie Vorschlag 10
ike peer zongbu
pre-shared-key admin
ike-proposal 10
remote-address 1.1.1.1
nat durchquerung
IPSec-Richtlinie Richtlinie1 1 Isakmp-
Sicherheit ACL 3000
Ike-Peer Zongbu-
Vorschlag Pro1
Schnittstelle GigabitEthernet1/0/0
Herunterfahren rückgängig machen
IP-Adresse 1.1.1.1 255.255.255.0
Dienstverwaltung Ping Genehmigung
IPSec-Richtlinie Richtlinie1
Schnittstelle GigabitEthernet1/0/1
Herunterfahren rückgängig machen
IP-Adresse 172.16.0.1 255.255.255.0
Service-Verwaltung Ping Erlaubnis
DHCP Schnittstelle auswählen
Firewall-Zone Vertrauensstellung
Priorität 85
Schnittstelle hinzufügen GigabitEthernet0/0/0
Schnittstelle hinzufügen GigabitEthernet1/0/1
IP Route-Static 0.0.0.0 0.0.0.0 2.2.2.1
nat-policy // Passen Sie zuerst die VPN-Daten an. Wenn es online ist, wird es automatisch heruntergefahren und mit der folgenden Richtlinienregel übereinstimmt:
Policy_vpn
Quelladresse 172.16.0.0 Maske 255.255.255.0
Zieladresse 192.168.0.0 Maske 255.255.255.0
Aktion nein -nat
Regelname Policy_Internet
Quellzone Vertrauen
Zielzone Untrust
Quelladresse 172.16.0.0 Maske 255.255.255.0
Aktion Quell-Nat Easy-IP
Beachten:
Wenn für die ausgehende Abteilung ein interner Server-Mapping-Port vorhanden ist, muss beim Zuordnen des Nat-Servers am Ende des Befehls no-reverse hinzugefügt werden, damit die Server-Mapping-Tabelle nicht generiert wird, andernfalls funktioniert das VPN nicht .
NAT-Serverprotokoll TCP global 2.2.2.2 80 innerhalb 172.16.0.100 80 keine Umkehrung