华为防火墙NAT环境配置IPSec
本实验主要实现NAT穿透
实验环境
实验拓扑图:
模拟器:eNSP
设备型号:AR2240、S3700、USG6000V
USG6000V
默认配置口为0口
默认用户名:admin
默认密码:Admin@123
默认管理地址:https://192.168.0.1:8443
登录后必改密码
实验步骤
环境配置
1、FW1、FW2配置
# FW1
<USG6000V1>sys
[USG6000V1]sysname FW1
[FW1]int g0/0/0
[FW1-GigabitEthernet0/0/0]service-manage all permit # 允许所有服务
# FW2
<USG6000V1>sys
[USG6000V1]sysname FW2
[FW2]int g0/0/0
[FW2-GigabitEthernet0/0/0]ip add 192.168.0.2 24 # 为FW2重新配置管理地址
[FW2-GigabitEthernet0/0/0]service-manage all permit
2、根据拓扑图配置IP
# AR1
<Huawei>sys
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 23.34.45.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 23.34.50.2 24
# 防火墙IP可以使用命令行,也可以在图形化界面配置
在浏览器输入https://192.168.0.1:8443
、https://192.168.0.2:8443
进入防火墙图形化配置页面
网络-接口,根据拓扑图的接线配置接口IP,配置如下:
FW1:
注意:外网接口需要配置网关,FW2同理
FW2:
3、配置NAT策略
在FW1上配置源地址转换
策略-NAT策略-NAT策略-新建
配置填写完成后不要急着确定,点击新建安全策略
抓取g1/0/0接口的流量发现配置成功
在FW1上配置目的地址转换
在FW1上配置源和目的地址转换
打开Server1的httpSwever
NAT环境配置完成
实现NAT穿透(配置IPSec)
1、在防火墙上配置IPSec
网络-IPSec-IPSec
FW1
新建安全策略
FW2
2、修改FW1上的源地址转换策略
意思是当目的地址为192.168.100.0网段的地址时,不进行源地址转换,对应的安全策略也需要修改
FW2新建源地址转换策略
3、新建互访安全策略
FW1与FW2相同,都需要新建
配置完成