华为防火墙IPSec虚拟环境配置

实验目的：通过配置IPSec通道，从绵阳公司client3客户机来访问成都公司20.0网段中的server1上的web。

一、实验准备

        1、拓扑图搭建 （注意防火墙的g0/0/0，为管理接口，要与cloud1相连）给服务器和客户机都配上对应网段的IP地址        2、FW1和FW2分别连接上Cloud1中的虚拟网卡上，并且配置双向通道，才可以对两台防火强进行控制。注意需要添加两个端口映射，并且都是双向。

         3、设置虚拟网卡IP，我这里使用的是VMnet2，配置IP

         4、打开防火墙命令界面输入默认账号:   admin   密码： Admin@123   ——>然后修改默认密码——>进入到配置界面

(这里可以修改一下防火墙名字,方便辨认)随意

sys

int g 0/0/0   #进入到管理口

 service-manage all permit       #服务管理权限

这里FW1和FW2配置相同，都需要打开服务管理

注意在FW2中需要更改G0/0/0端口默认IP

因为华为防火墙默认管理的IP都是192.168.0.1——将FW2配置成192.168.0.2

FW2

sys

int g0/0/0

ip add 192.168.0.2     

二、防火墙配置成都——FW1

        1、在浏览器中输入对应的IP，就可以直接进入，（这里能否进入与实验准备中步骤有关）  

输入账号密码。FW1

        2、首先配置防火墙的端口FW1

         在配置时候注意对应好拓扑图中防火墙端口的IP地址

        3、配置NAT策略

        DNAT策略，允许外网通过防火墙45.1端口访问内网server1（192.168.20.10）的http服务.

然后打开添加安全策略名称，其他默认即可。

        4、SNAT策略配置，这里需要把IP进行一个反选，如果不进行反选，访问的时候它会选择默认策略DNAT进行访问，不会走IPSec通道。

        安全策略设置名称后确认即可。 

        5、新建一条安全策略

        6、创建IPSec

        6.1配置内容

 

         6.2新建安全策略——IKE协商

三、防火墙配置绵阳——FW2

防火墙FW2中的接口配置

1、NAT策略配置 ，这里也需要进行一个反向（安全策略，取名后默认确定）

2、新建一个安全策略

3、创建绵阳防火墙上的IPSec

 

 4、新建安全策略——IKE协商

配置好后打开server1

四、验证，通过Client3

 在两个碎隧道之间抓包，结果