之前已经做了ipsec vpn的网关部署实验,不清楚的小伙伴可以移步,更清楚的了解这两次实验的不同:ipsec vpn网关部署实验-CSDN博客
ipsec vpn在nat环境下部署的意思就是将用来充当ipsec vpn设备放在内网中,而不是配置在网关处 ,这样做的目的也是为了更加的安全。
还是用之前的实验图,该图的基本配置已经完成,新加了一个防火墙FW4充当ipsec vpn的设备:
要求:
所有的基础配置都已经配置完成,要求使用FW4作为VPN设备于分公司的192.168.1.0/24建立ipsec VPN;
实验步骤:
(1):
我们将FW4划在网段10.0.4.0/24中,并创建vlan4 将其划入其中,在边界设备FW7上在创建一个子接口用于接收vlan4 的流量,并再创建一个区域将子接口划入其中。
LSW1(交换机)上配置:
[sw1]vlan 4
[sw1-vlan4]q
[sw1]in g0/0/5
[sw1-GigabitEthernet0/0/5]p l a
[sw1-GigabitEthernet0/0/5]port default vlan 4
[sw1-GigabitEthernet0/0/5]in g0/0/3
[sw1-GigabitEthernet0/0/3]p l t
[sw1-GigabitEthernet0/0/3]p t a v 2 3 4
[sw1-GigabitEthernet0/0/3]in g0/0/4
[sw1-GigabitEthernet0/0/4]p l t
[sw1-GigabitEthernet0/0/4]p t a v 2 3 4
在FW1上,在接口g1/0/0创建一个子接口用来接收vlan 4的流量。并把它划入trust区域(注意trust区域并没有进行任何配置,只是为了方便,你们可以自行创建一个区域)
(2):
首先我们需要在FW1上对于trust区域做源nat,保证出去时的流量的源ip为(12.0.0.1);同时我们还需要将FW4映射出去,做一次目标nat,保证对端可以通过12.0.0.1与FW4建立ipsec。(10.0.4.10是私网地址,外界只能访问到边界,所以需要映射)
FW1:源nat
FW1:目标nat:注意,我们在进行映射的时候需要将FW4的500端口和4500端口都要映射出去,因为——NAT-T技术;
不了解NAT-T技术的小伙伴可以移步:ipsec协议簇详解(IPSec vpn)-CSDN博客
(3):
ipsec vpn的构建为:野蛮模式+esp+隧道传输
做完(1),(2)后就可以在FW4上创建ipsec vpn了。fw3与fw4上的配置需要保持一样。
FW4:
FW3上:
(4):
在点击应用之后我们会发现ipsec隧道还是没有构建好:
分析:点击诊断后我们会发现是ike协商阶段的流量没有通过,所以我们需要让ike协商阶段的流量通过(即放通UDP的500端口和4500端口):
在FW4上:
FW3上:
FW1:FW1只是作为一个传递ike报文的设备,所以:
此时,我们就可以发现该ipsec隧道已经建立好了:
(5):
分析:当流量来到FW4后会封装一个esp的头部,需要放通esp的流量(loacl<——>untrust),双向过程。
同理:流量到FW3上时也会封装一个esp头部,需要放通esp的流量(loacl<——>untrust),双向过程。
同理:FW1也需要放通esp的流量,因为FW起透传的作用,需要放通(trust<——>电信)双向过程。
FW3上:
FW4上:
FW1上:
(6):
分析:当原始数据包(10.0.2.0/24 ——>192.168.1.0/24)来到FW4之后,防火墙要不要接收该数据取决于安全策略,所以我们需要写一条双向的安全策略来放通原始数据包,只有放通之后防火墙才能进行下一步操作。(将原始数据加密走ipsec通道)。
该操作只需要在FW4和FW3上做,因为在FW1上只会存在esp封装的数据包。
FW4上:
FW3上:
在FW1中,会有23.0.0.2——>12.0.0.1的流量,经过nat之后会变成:23.0.0.2——>10.0.4.10;
所以,在FW上我们还需要放通电信区的(23.0.0.2)——>到trust区的10.0.4.10的流量;
(7):
分析:
我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,所以需要将该流量引入到FW上去,再由FW4将封装过后的流量发给FW1。但此时流量是直接发送给防火墙的,所以我们需要引流。
需要在FW1上写一条静态:
此时我们在次ping129.168.1.10试一下:发现此时并不能通
分析:
我们可以从安全策略,路由两个方面进行排错:
- 经过实验将FW1,FW3,FW4的安全策略缺省放通,发现还是不能通,可能不是安全策略的问题,接下来看路由。
- 在查看我们的路由表时发现我们之前写的一条静态路由并没有生效,该流量还是通过nat后发往电信。经过排查,发现在这个实验中我之前写了一条策略路由要求办公区的所有流量走电信,该条策略路由优先于路由条目,所以无法将流量引入到FW4上。
在FW1上将之前写的策略路由禁用:
在此ping时发现还是不能ping通:
分析:可以排除路由的影响,往安全策略方面想,经过排查当我们将FW1上的安全策略缺省放通时就可以ping通,可以发现在FW1上的安全策略上我们还是少放通了什么,我们使用抓包工具在FW1的g1/0/0接口上抓包:发现有10.0.2.0/24——>192.168.1.0/24的流量,但我们并没有放通。
所以我们需要在安全策略上放通即可:
此时,我们再次去ping就可以发现通了:
到此,整个实验就做完了,该实验的难度不是很高主要考察的就是我们的排错思路;
从路由,安全策略等方面来进行思考。
如果在实验的过程中有什么问题可以私信博主哦,该实验主要考察我们的综合能力。