安全设备-华为防火墙NAT环境配置IPSec

华为防火墙NAT环境配置IPSec

本实验主要实现NAT穿透

实验环境

实验拓扑图:

安全设备-华为防火墙NAT环境配置IPSec_第1张图片

模拟器:eNSP
设备型号:AR2240、S3700、USG6000V

USG6000V
默认配置口为0口
默认用户名:admin
默认密码:Admin@123
默认管理地址:https://192.168.0.1:8443
登录后必改密码

实验步骤

环境配置

1、FW1、FW2配置

# FW1
sys
[USG6000V1]sysname FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]service-manage all permit 	# 允许所有服务

# FW2
sys
[USG6000V1]sysname FW2
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip add 192.168.0.2 24			# 为FW2重新配置管理地址
[FW2-GigabitEthernet0/0/0]service-manage all permit 

2、根据拓扑图配置IP

# AR1
sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 23.34.45.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 23.34.50.2 24

# 防火墙IP可以使用命令行,也可以在图形化界面配置

在浏览器输入https://192.168.0.1:8443https://192.168.0.2:8443进入防火墙图形化配置页面

网络-接口,根据拓扑图的接线配置接口IP,配置如下:

FW1:

安全设备-华为防火墙NAT环境配置IPSec_第2张图片

注意:外网接口需要配置网关,FW2同理

FW2:

安全设备-华为防火墙NAT环境配置IPSec_第3张图片

3、配置NAT策略

在FW1上配置源地址转换

策略-NAT策略-NAT策略-新建

配置填写完成后不要急着确定,点击新建安全策略

安全设备-华为防火墙NAT环境配置IPSec_第4张图片

安全设备-华为防火墙NAT环境配置IPSec_第5张图片

抓取g1/0/0接口的流量发现配置成功

安全设备-华为防火墙NAT环境配置IPSec_第6张图片

在FW1上配置目的地址转换

安全设备-华为防火墙NAT环境配置IPSec_第7张图片

在FW1上配置源和目的地址转换

打开Server1的httpSwever

安全设备-华为防火墙NAT环境配置IPSec_第8张图片

NAT环境配置完成

实现NAT穿透(配置IPSec)

1、在防火墙上配置IPSec

网络-IPSec-IPSec

FW1


新建安全策略

FW2

安全设备-华为防火墙NAT环境配置IPSec_第9张图片

安全设备-华为防火墙NAT环境配置IPSec_第10张图片

2、修改FW1上的源地址转换策略

安全设备-华为防火墙NAT环境配置IPSec_第11张图片

意思是当目的地址为192.168.100.0网段的地址时,不进行源地址转换,对应的安全策略也需要修改

安全设备-华为防火墙NAT环境配置IPSec_第12张图片

FW2新建源地址转换策略

安全设备-华为防火墙NAT环境配置IPSec_第13张图片
安全设备-华为防火墙NAT环境配置IPSec_第14张图片

3、新建互访安全策略

FW1与FW2相同,都需要新建

配置完成

校验

安全设备-华为防火墙NAT环境配置IPSec_第15张图片

你可能感兴趣的:(安全设备,华为,网络)