实验目的:通过配置IPSec通道,从绵阳公司client3客户机来访问成都公司20.0网段中的server1上的web。
一、实验准备
1、拓扑图搭建 (注意防火墙的g0/0/0,为管理接口,要与cloud1相连)给服务器和客户机都配上对应网段的IP地址 2、FW1和FW2分别连接上Cloud1中的虚拟网卡上,并且配置双向通道,才可以对两台防火强进行控制。注意需要添加两个端口映射,并且都是双向。
3、设置虚拟网卡IP,我这里使用的是VMnet2,配置IP
4、打开防火墙命令界面输入默认账号: admin 密码: Admin@123 ——>然后修改默认密码——>进入到配置界面
(这里可以修改一下防火墙名字,方便辨认)随意
sys
int g 0/0/0 #进入到管理口
service-manage all permit #服务管理权限
这里FW1和FW2配置相同,都需要打开服务管理
注意在FW2中需要更改G0/0/0端口默认IP
因为华为防火墙默认管理的IP都是192.168.0.1——将FW2配置成192.168.0.2
FW2
sys
int g0/0/0
ip add 192.168.0.2
二、防火墙配置成都——FW1
1、在浏览器中输入对应的IP,就可以直接进入,(这里能否进入与实验准备中步骤有关)
输入账号密码。FW1
2、首先配置防火墙的端口FW1
在配置时候注意对应好拓扑图中防火墙端口的IP地址
3、配置NAT策略
DNAT策略,允许外网通过防火墙45.1端口访问内网server1(192.168.20.10)的http服务.
然后打开添加安全策略名称,其他默认即可。
4、SNAT策略配置,这里需要把IP进行一个反选,如果不进行反选,访问的时候它会选择默认策略DNAT进行访问,不会走IPSec通道。
安全策略设置名称后确认即可。
5、新建一条安全策略
6、创建IPSec
6.1配置内容
6.2新建安全策略——IKE协商
三、防火墙配置绵阳——FW2
防火墙FW2中的接口配置
1、NAT策略配置 ,这里也需要进行一个反向(安全策略,取名后默认确定)
2、新建一个安全策略
3、创建绵阳防火墙上的IPSec
4、新建安全策略——IKE协商
配置好后打开server1
四、验证,通过Client3
在两个碎隧道之间抓包,结果