網絡運維|防火墻上支持NAT穿越的IPsec的配置

2020-06-11 17:39 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡安全運維工程師，今天和大家分享的是網絡安全設備維護相關的內容，在這里介紹下支持NAT穿越IPSec配置實例，網絡安全運維，從Web管理輕松學起,一步一步學成網絡安全運維大神。

網絡維護是一種日常維護，包括網絡設備管理(如計算機，服務器)、操作系統維護(系統打補丁，系統升級)、網絡安全(病毒防范)等。+

北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務，北京網絡維修信息查詢，同時您可以免費資訊北京網絡維護，北京網絡維護服務，北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+

北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息

支持NAT穿越的IPSec隧道

在實際組網應用中，如果IPSec隧道發起者位于一個私網內部，而它希望穿越網關設備與遠端響應者之間直接建立一條IPSec隧道，這種情況會對部署IPSec VPN網絡造成障礙。這就需要支持NAT穿越的IPSec隧道。

組網需求

如圖10-11所示，分支機構員工需要訪問總部內部的服務器。由于服務器信息較機密，而且數據經過Internet傳輸不安全，因此需要穿越NAT網關USG_B在USG_A與USG_C之間建立IPSec隧道，對傳輸數據進行加密。

圖10-11  支持NAT穿越的IPSec隧道組網圖 

配置思路

1. 完成USG_A、USG_B和USG_C的基本配置、包括接口、轉發策略、本地策略、路由的配置。

2. 在USG_B上完成源NAT的配置。

3. 在USG_A和USG_C上完成IPSec的配置，需要注意的是在配置安全提議時要開啟NAT穿越功能。

操作步驟

1. 配置USG_A的接口基本參數。

a. 選擇“網絡 > 接口 > 接口”。

b. 在“接口列表”中，單擊GE0/0/1對應的。

c. 在“修改GigabitEthernet”界面中，配置如下：

· 安全區域：trust

· IP地址：192.168.0.1

· 子網掩碼：255.255.255.0

d. 單擊“應用”。
e. 在“接口列表”中，單擊GE0/0/2對應的。

f. 在“修改GigabitEthernet”界面中，配置如下：

· 安全區域：untrust

· IP地址：200.1.1.1

· 子網掩碼：255.255.255.0

2. 配置USG_A的安全策略。

a. 配置Local安全區域和Untrust安全區域之間的安全策略。

. 選擇“防火墻 > 安全策略 > 本地策略”。

i. 在“本地策略”中單擊“新建”。配置如下參數：

· 源安全區域：untrust


· 源地址：202.1.1.0/24

· 動作：permit

ii. 單擊“應用”。

a. 配置Trust安全區域和Untrust安全區域之間的安全策略。

i. 選擇“防火墻 > 安全策略 > 轉發策略”。

ii. 在“轉發策略列表”中單擊“新建”。配置如下參數。

· 源安全區域：trust

· 目的安全區域：untrust

· 源地址：192.168.0.0/24

· 目的地址：192.168.1.0/24

· 動作：permit

iii. 單擊“應用”。

iv. 重新在“轉發策略列表”中單擊“新建”。配置如下參數。

· 源安全區域：untrust

· 目的安全區域：trust

· 源地址：192.168.1.0/24

· 目的地址：192.168.0.0/24

· 動作：permit

v. 單擊“應用”。

1. 參考1、2以及上面的表格，完成USG_B和USG_C的基本配置。

2. 在USG_B上完成源NAT的配置，使分支機構中的用戶使用NAT地址池中的公網IP地址訪問Internet。

a. 選擇“防火墻 > NAT > 源NAT”。

b. 選擇“NAT地址池”頁簽。

c. 在“NAT地址池列表”中，單擊“新建”。

在“新建NAT地址池”界面中，配置NAT地址池addresspool1，

d. 單擊“應用”。

e. 選擇“源NAT”頁簽。

f. 在“源NAT策略列表”中，單擊“新建”。

在“新建源NAT”界面中，配置Trust與Untrust域間的源NAT，引用NAT地址池addresspool1，

g. 單擊“應用”。

3. 配置USG_A的IPSec隧道。

a. 選擇“VPN > IPSec > IPSec”，單擊“新建”，選擇“場景”為“點到點”。

b. 配置USG_A的IPSec策略基本信息。

由于對端網關NAT轉換后的公網地址不固定，因此不指定對端網關地址。此時，只能由分支用戶來訪問總部，而總部用戶不能主動訪問分支。

c. 在“待加密的數據流”中單擊“新建”，按如下數據增加一條數據流規則。

d. 展開“安全提議”中的“高級”，按如下參數配置IPSec安全提議。

本例中所使用的安全提議參數全部為缺省配置（見下圖），用戶可以直接使用而不用逐一對照配置。如果實際應用場景中對安全提議參數有明確要求時，可以對安全提議參數進行修改，且隧道兩端所使用的安全提議配置必須相同。

 e. 單擊“應用”。完成USG_A的配置。

4. 配置USG_C的IPSec隧道。

a. 配置USG_C的IPSec策略基本信息，并指定對端網關，預共享密鑰為abcde。

b. 在“待加密的數據流”中單擊“新建”，按如下數據增加一條數據流規則。
 
c. 展開“安全提議”中的“高級”，按如下參數配置IPSec安全提議。

本例中所使用的安全提議參數全部為缺省配置，用戶可以直接使用而不用逐一對照配置。如果實際應用場景中對安全提議參數有明確要求時，可以對安全提議參數進行修改，且隧道兩端所使用的安全提議配置必須相同。
 
d. 單擊“應用”。完成USG_C的配置。
 
以上文章由北京艾銻無限科技發展有限公司整理