本实验使用华为eNSP模拟器,采用了IPSec ×××技术、NAT等技术,搭建了一个简单的总公司与分公司的网络环境,实现总公司与分公司的正常访问



实验需求

    FW1和FW2模拟企业边缘设备,分别在2台设备上配置NAT和IPsec ×××实现2边私网可以通过×××互相通信

华为防火墙 IPsec ***的详细配置_第1张图片



实验配置

1、ISP配置

[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/1]ip add 100.0.0.2 30
[ISP-GigabitEthernet0/0/1]int g0/0/1
[ISP-GigabitEthernet0/0/0]ip add 200.0.0.2 30



2、FW1配置

[FW1]firewall zone trust          //配置trust区域
[FW1-zone-trust]add interface g0/0/0    //将接口加入trust区域
[FW1-zone-trust]quit
[FW1]firewall zone untrust           //配置untrust区域
[FW1-zone-untrust]add int g0/0/1          //将接口加入untrust区域
[FW1-zone-untrust]quit
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]ip add 10.0.0.254 8
[FW1-GigabitEthernet0/0/0]int g0/0/1
[FW1-GigabitEthernet0/0/1]ip add 100.0.0.1 30
[FW1-GigabitEthernet0/0/1]quit


#配置NAT
[FW1]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2   //配置默认路由上公网
[FW1]nat-policy interzone trust untrust outbound 
//进入trust到untrust区域out方向的策略视图
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 1     //创建一个策略
[FW1-nat-policy-interzone-trust-untrust-outbound-1]policy source 10.0.0.0 0.255.255.255
[FW1-nat-policy-interzone-trust-untrust-outbound-1]policy destination 192.168.1.0 0.0.0.255
[FW1-nat-policy-interzone-trust-untrust-outbound-1]action no-nat 
//以上三条命令意思是不允许将源为10.0.0.0/8网段目标为192.168.1.0/24网段的数据包进行NAT

[FW1-nat-policy-interzone-trust-untrust-outbound-1]quit
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 2  //创建策略2
[FW1-nat-policy-interzone-trust-untrust-outbound-2]action source-nat
//允许对源IP进行NAT
[FW1-nat-policy-interzone-trust-untrust-outbound-2]easy-ip g0/0/1
//对接口G0/0/1地址复用
[FW1-nat-policy-interzone-trust-untrust-outbound-2]quit
[FW1-nat-policy-interzone-trust-untrust-outbound]quit


#配置IPSec ×××
阶段一
[FW1]ike proposal 1     //配置一个安全提议
[FW1-ike-proposal-1]authentication-method pre-share   //配置IKE认证方式为预共享密钥
[FW-ike-proposal-1]authentication-algorithm sha1   //配置IKE认证算法为sha1
[FW1-ike-proposal-1]integrity-algorithm aes-xcbc-96  //配置IKE完整性算法
[FW1-ike-proposal-1]dh group2  //配置IKE密钥协商DH组
[FW1-ike-proposal-1]quit
[FW]ike peer FW2             //创建一个IKE对等体名字为FW2
[FW1-ike-peer-usg-2]pre-shared-key 123.abc    //配置预共享密钥
[FW1-ike-peer-usg-2]remote-address 200.0.0.1  //配置对等体IP地址
[FW1-ike-peer-usg-2]ike-proposal 1       //调用ike安全提议
[FW1-ike-peer-usg-2]quit


阶段二
[FW1]ipsec proposal test        //配置一个ipsec安全提议
[FW1-ipsec-proposal-test]encapsulation-mode tunnel    //封装方式采用隧道
[FW1-ipsec-proposal-test]transform esp    //配置IPSEC安全协议为ESP
[FW1-ipsec-proposal-test]esp encryption-algorithm aes   //配置ESP协议加密算法为aes
[FW1-ipsec-proposal-test]esp authentication-algorithm sha1  //配置ESP协议认证算法
[FW1-ipsec-proposal-test]quit
[FW1]acl 3000         //创建一个ACL定义感兴趣流
[FW1-acl-adv-3000]rule permit ip source 10.0.0.0 0.255.255.255 destination 192.168.1.0 0.0.0.255

[FW1]ipsec policy map 1 isakmp    //创建一个安全策略,名称为map
[FW1-ipsec-policy-isakmp-map-1]ike-peer FW2    //调用ike对等体
[FW1-ipsec-policy-isakmp-map-1]proposal test     //调用IPsec安全提议
[FW1-ipsec-policy-isakmp-map-1]security acl 3000   //配置感兴趣流
[FW1-ipsec-policy-isakmp-map-1]quit
[FW1]int g0/0/1
[FW1-GigabitEthernet0/0/1]ipsec policy map     //在外网口上调用安全策略


#区域间策略配置
[FW1]policy interzone trust untrust outbound .
//进入trust到untrust区域out方向策略视图
[FW1-policy-interzone-trust-untrust-outbound]policy 1    //创建策略
[FW1-policy-interzone-trust-untrust-outbound-1]action permit  
//允许trust区域所有主机访问untrust区域 
[FW1-policy-interzone-trust-untrust-outbound-1]quit
[FW1-policy-interzone-trust-untrust-outbound]quit
[FW1]policy interzone trust untrust inbound 
//进入trust区域到untrust区域的in方向策略视图
[FW1-policy-interzone-trust-untrust-inbound]policy 1
[FW1-policy-interzone-trust-untrust-inbound-1]policy source 192.168.1.0 0.0.0.255
[FW1-policy-interzone-trust-untrust-inbound-1]policy destination 10.0.0.0 0.255.255.255
[FW1-policy-interzone-trust-untrust-inbound-1]action permit 
//以上命令为允许数据包源地址为192.168.1.0/24网段和目标地址为10.0.0.0/8网段的流量过
[FW1-policy-interzone-trust-untrust-inbound-1]quit
[FW1-policy-interzone-trust-untrust-inbound]quit
[FW1]policy interzone local untrust inbound
//进入local区域到untrust区域的in方向策略视图
[FW1-policy-interzone-local-untrust-inbound]policy 1
[FW1-policy-interzone-local-untrust-inbound-1]policy source 200.0.0.1 0
[FW1-policy-interzone-local-untrust-inbound-1]policy destination 100.0.0.1 0
[FW1-policy-interzone-local-untrust-inbound-1]action permit 
//允许源地址是200.0.0.1目标地址是100.0.0.1的数据包访问


3、FW2配置和FW1相同,只需调整源IP和目标IP即可,就不在赘述了

 

4、配置总公司和分公司客户端的IP地址

    在总公司访问分公司的私网IP地址,验证

华为防火墙 IPsec ***的详细配置_第2张图片