安全设备-华为防火墙NAT环境配置IPSec

华为防火墙NAT环境配置IPSec

本实验主要实现NAT穿透

实验环境

实验拓扑图：

模拟器：eNSP
设备型号：AR2240、S3700、USG6000V

USG6000V
默认配置口为0口
默认用户名：admin
默认密码：Admin@123
默认管理地址：https://192.168.0.1:8443
登录后必改密码

实验步骤

环境配置

1、FW1、FW2配置

# FW1
sys
[USG6000V1]sysname FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]service-manage all permit 	# 允许所有服务

# FW2
sys
[USG6000V1]sysname FW2
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip add 192.168.0.2 24			# 为FW2重新配置管理地址
[FW2-GigabitEthernet0/0/0]service-manage all permit 

2、根据拓扑图配置IP

# AR1
sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 23.34.45.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 23.34.50.2 24

# 防火墙IP可以使用命令行，也可以在图形化界面配置

在浏览器输入https://192.168.0.1:8443、https://192.168.0.2:8443进入防火墙图形化配置页面

网络-接口，根据拓扑图的接线配置接口IP，配置如下：

FW1：

注意：外网接口需要配置网关，FW2同理

FW2：

3、配置NAT策略

在FW1上配置源地址转换

策略-NAT策略-NAT策略-新建

配置填写完成后不要急着确定，点击新建安全策略

抓取g1/0/0接口的流量发现配置成功

在FW1上配置目的地址转换

在FW1上配置源和目的地址转换

打开Server1的httpSwever

NAT环境配置完成

实现NAT穿透（配置IPSec）

1、在防火墙上配置IPSec

网络-IPSec-IPSec

FW1

新建安全策略

FW2

2、修改FW1上的源地址转换策略

意思是当目的地址为192.168.100.0网段的地址时，不进行源地址转换，对应的安全策略也需要修改

FW2新建源地址转换策略

3、新建互访安全策略

FW1与FW2相同，都需要新建

配置完成

校验