网络安全防御【IPsec VPN搭建】

avatar
作者
猴君
阅读量:0

目录

一、实验拓扑图

二、实验要求

三、实验思路

四、实验步骤:

修改双机热备的为主备模式:

2、配置交换机LSW6新增的配置:

3、防火墙(FW4)做相关的基础配置:

4、搭建IPsec VPN通道

(1)由于我们这里是在NAT环境下搭建的IPsec VPN,因此我们只有一种选择:通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式,也就是ESP协议,隧道模式,野蛮模式三者搭配来进行配置。(FW4 要与 FW2的配置信息一致)。

(2)在FW1上面做相关的NAT策略和服务器映射:

(3)放通IKE协商的流量

(4)我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,所以需要将该流量引入到FW1上去,再由FW4将封装过后的流量发给FW1。但此时流量是直接发送给防火墙的,所以我们需要引流。新建静态路由:

(5)放通10.0.2.0与192.168.1.0两网段相互通信的流量

(6)FW1与FW2上新建NAT策略使得从10.0.2.0的网段访问192.168.1.0网段时不做NAT转换

(7)测试一下IPsec VPN通道情况:


一、实验拓扑图

二、实验要求

20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段

三、实验思路

  1. 首先将我们的双机热备由之前的负载分担模式改为主备模式,可是适当的删减一些虚拟IP使设备减轻分担
  2. 为我们新建的防火墙(VPN)做相关的基础配置
  3. 搭建我们的IPsec VPN通道,由于是内网的VPN,就会在NAT环境中应用,所以通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式。去配置相应的IPsec VPN策略,安全策略,NAT策略。

四、实验步骤

  1. 修改双机热备的为主备模式:

先将虚拟IP 7和8删除:

FW1:

 

FW3:

关闭所有的虚拟MAC,然后切换双机热备为主备模式:

FW1:

 

FW3:

 

成功修改为主备模式!!!

2、配置交换机LSW6新增的配置:

[Huawei]int g0/0/5  [Huawei-GigabitEthernet0/0/5]p l a  [Huawei-GigabitEthernet0/0/5]port default vlan 2 // 将FW4划分到VLAN 2中

3、防火墙(FW4)做相关的基础配置:

 开启防火墙后需要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;

登录成功之后需要修改你的密码才能进入防火墙的用户视图。

  防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。

在防火墙中g0/0/0口中开启所有的服务:

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

在FW4的g1/0/0接口上面配:

4、搭建IPsec VPN通道

(1)由于我们这里是在NAT环境下搭建的IPsec VPN,因此我们只有一种选择:通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式,也就是ESP协议,隧道模式,野蛮模式三者搭配来进行配置。(FW4 要与 FW2的配置信息一致)。

FW4:

 

 

 

FW2:

 

 

(2)在FW1上面做相关的NAT策略和服务器映射:

 

 

服务器映射(将公网访问12.0.0.1的目标IP都转换成10.0.2.3,并且指定UDP500与UDP4500)

 

(3)放通IKE协商的流量

FW4:

 

FW2:

FW1:

FW2:

 

FW4:

IPsec策略协商成功!!!

(4)我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,所以需要将该流量引入到FW1上去,再由FW4将封装过后的流量发给FW1。但此时流量是直接发送给防火墙的,所以我们需要引流。新建静态路由:

(5)放通10.0.2.0与192.168.1.0两网段相互通信的流量

FW2:

 

FW4:

 

FW1:

(6)FW1与FW2上新建NAT策略使得从10.0.2.0的网段访问192.168.1.0网段时不做NAT转换

FW1:

 

FW2:

(7)测试一下IPsec VPN通道情况:

使用办公区的PC2去ping 分公司的PC3:

抓包查看流量:

在防火墙FW4的g1/0/0接口:

 

在防火墙FW1的g1/0/1接口:

测试成功!!!

至此实验全部完成!!!

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!