华为防火墙NAT环境配置IPSec

本实验主要实现NAT穿透

实验环境

实验拓扑图:

模拟器:eNSP

设备型号:AR2240、S3700、USG6000V

USG6000V

默认配置口为0口

默认用户名:admin

默认密码:Admin@123

默认管理地址:https://192.168.0.1:8443

登录后必改密码

实验步骤

环境配置

1、FW1、FW2配置

# FW1

sys

[USG6000V1]sysname FW1

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]service-manage all permit # 允许所有服务

# FW2

sys

[USG6000V1]sysname FW2

[FW2]int g0/0/0

[FW2-GigabitEthernet0/0/0]ip add 192.168.0.2 24 # 为FW2重新配置管理地址

[FW2-GigabitEthernet0/0/0]service-manage all permit

2、根据拓扑图配置IP

# AR1

sys

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]ip add 23.34.45.2 24

[Huawei-GigabitEthernet0/0/0]int g0/0/1

[Huawei-GigabitEthernet0/0/1]ip add 23.34.50.2 24

# 防火墙IP可以使用命令行,也可以在图形化界面配置

在浏览器输入https://192.168.0.1:8443、https://192.168.0.2:8443进入防火墙图形化配置页面

网络-接口,根据拓扑图的接线配置接口IP,配置如下:

FW1:

注意:外网接口需要配置网关,FW2同理

FW2:

3、配置NAT策略

在FW1上配置源地址转换

策略-NAT策略-NAT策略-新建

配置填写完成后不要急着确定,点击新建安全策略

抓取g1/0/0接口的流量发现配置成功

在FW1上配置目的地址转换

在FW1上配置源和目的地址转换

打开Server1的httpSwever

NAT环境配置完成

实现NAT穿透(配置IPSec)

1、在防火墙上配置IPSec

网络-IPSec-IPSec

FW1

新建安全策略

FW2

2、修改FW1上的源地址转换策略

意思是当目的地址为192.168.100.0网段的地址时,不进行源地址转换,对应的安全策略也需要修改

FW2新建源地址转换策略

3、新建互访安全策略

FW1与FW2相同,都需要新建

配置完成

校验

精彩文章

评论可见,请评论后查看内容,谢谢!!!评论后请刷新页面。