网络安全防御【IPsec VPN搭建】
目录一、实行拓扑图
二、实行要求
三、实行思绪
四、实行步骤:
修改双机热备的为主备模式:
2、配置交换机LSW6新增的配置:
3、防火墙(FW4)做相关的基础配置:
4、搭建IPsec VPN通道
(1)由于我们这里是在NAT环境下搭建的IPsec VPN,因此我们只有一种选择:通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式,也就是ESP协议,隧道模式,野蛮模式三者搭配来举行配置。(FW4 要与 FW2的配置信息同等)。
(2)在FW1上面做相关的NAT计谋和服务器映射:
(3)放通IKE协商的流量
(4)我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,以是必要将该流量引入到FW1上去,再由FW4将封装事后的流量发给FW1。但此时流量是直接发送给防火墙的,以是我们必要引流。新建静态路由:
(5)放通10.0.2.0与192.168.1.0两网段相互通信的流量
(6)FW1与FW2上新建NAT计谋使得从10.0.2.0的网段访问192.168.1.0网段时不做NAT转换
(7)测试一下IPsec VPN通道环境:
一、实行拓扑图
https://i-blog.csdnimg.cn/direct/1d5bd1fd7a5c46419e690599c5fdece8.png
二、实行要求
20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,包管10.0.2.0/24网段可以访问到192.168.1.0/24网段
三、实行思绪
[*]首先将我们的双机热备由之前的负载分担模式改为主备模式,可是适当的删减一些虚拟IP使设备减轻分担
[*]为我们新建的防火墙(VPN)做相关的基础配置
[*]搭建我们的IPsec VPN通道,由于是内网的VPN,就会在NAT环境中应用,以是通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式。去配置相应的IPsec VPN计谋,安全计谋,NAT计谋。
四、实行步骤
[*] 修改双机热备的为主备模式:
先将虚拟IP 7和8删除:
FW1:
https://i-blog.csdnimg.cn/direct/5e0c5c47d4654f72bf6d30f188d71be1.png
FW3:
https://i-blog.csdnimg.cn/direct/e2a25cbef0a745cc88b4f805287be5a3.png
关闭所有的虚拟MAC,然后切换双机热备为主备模式:
FW1:
https://i-blog.csdnimg.cn/direct/e652d44707964408ac9509e586d47d4f.png
https://i-blog.csdnimg.cn/direct/7f3dfa5d64cb45afaaa1c72b6a4e2041.png
FW3:
https://i-blog.csdnimg.cn/direct/87a542e3e712402db7a77ba9b50f1c92.png
https://i-blog.csdnimg.cn/direct/aa86a302b393433b8639823cdc45e594.png
成功修改为主备模式!!!
2、配置交换机LSW6新增的配置:
int g0/0/5
p l a
port default vlan 2 // 将FW4划分到VLAN 2中
3、防火墙(FW4)做相关的基础配置:
开启防火墙后必要登录用户名和密码,第一次默认的用户名:admin,密码:Admin@123;
登录成功之后必要修改你的密码才能进入防火墙的用户视图。
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们必要在浏览器中打开FW2的web服务就必要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。
在防火墙中g0/0/0口中开启所有的服务:
service-manage all permit
在FW4的g1/0/0接口上面配:
https://i-blog.csdnimg.cn/direct/4f3ddb29d5d64f0bbeeb3c5e09f0da78.png
4、搭建IPsec VPN通道
(1)由于我们这里是在NAT环境下搭建的IPsec VPN,因此我们只有一种选择:通信保护协议选择ESP协议的隧道模式,因特网密钥交换协议中的第一阶段选择野蛮模式,也就是ESP协议,隧道模式,野蛮模式三者搭配来举行配置。(FW4 要与 FW2的配置信息同等)。
FW4:
https://i-blog.csdnimg.cn/direct/7aa8aab215e248dfbea20dcba53ffc3b.png
https://i-blog.csdnimg.cn/direct/7de3fb2d50a344589872db576426bdf4.png
https://i-blog.csdnimg.cn/direct/f90bc3cba47b48e690baa019eca4da80.png
FW2:
https://i-blog.csdnimg.cn/direct/52210cfa6e974d8ab8e9edb98da147cf.png
https://i-blog.csdnimg.cn/direct/d11890c2dbd842e1a24c43bb340fe2ed.png
https://i-blog.csdnimg.cn/direct/6f380d1c2bbd484abb2cb1aeea42f49d.png
(2)在FW1上面做相关的NAT计谋和服务器映射:
https://i-blog.csdnimg.cn/direct/c83cf0970bd9402c815f7f9bea1dd90c.png
https://i-blog.csdnimg.cn/direct/5f4fc0296de34eaabd29ee190d83110e.png
https://i-blog.csdnimg.cn/direct/e7e83a73dc5c4b7cbfe2b36d10698250.png
服务器映射(将公网访问12.0.0.1的目的IP都转换成10.0.2.3,并且指定UDP500与UDP4500)
https://i-blog.csdnimg.cn/direct/8764e7a8dfcf41f2a30a07f1a939c056.png
https://i-blog.csdnimg.cn/direct/25809d01d2c74c23826e4ae08023cda0.png
(3)放通IKE协商的流量
FW4:
https://i-blog.csdnimg.cn/direct/ece7336de94046c5a69683c438d5b152.png
https://i-blog.csdnimg.cn/direct/71142afbf48f445fa8069bf613041013.png
FW2:
https://i-blog.csdnimg.cn/direct/4986ecd3e9c8466c9896ecda430b9281.png
https://i-blog.csdnimg.cn/direct/3411e3e4049d47249441b8a00027df87.png
FW1:
https://i-blog.csdnimg.cn/direct/901f4715717f460dbf6d5b1c5c486327.png
FW2:
https://i-blog.csdnimg.cn/direct/51a2d1c3acef4f54a2b12325d426ceaf.png
FW4:
https://i-blog.csdnimg.cn/direct/a7122a5a8cb04e5c9d194d6aa63a1a35.png
IPsec计谋协商成功!!!
(4)我们的目的是要10.0.2.0/24网段访问192.168.1.0/24,以是必要将该流量引入到FW1上去,再由FW4将封装事后的流量发给FW1。但此时流量是直接发送给防火墙的,以是我们必要引流。新建静态路由:
https://i-blog.csdnimg.cn/direct/4a12fbc293084282b64fde483d0d92ad.png
(5)放通10.0.2.0与192.168.1.0两网段相互通信的流量
FW2:
https://i-blog.csdnimg.cn/direct/e584fe2eef0746478694e9089f502e50.png
FW4:
https://i-blog.csdnimg.cn/direct/788ffe859408481d8439beb6b6f822f8.png
FW1:
https://i-blog.csdnimg.cn/direct/32bed57a4928418e93a589d8168a5da4.png
(6)FW1与FW2上新建NAT计谋使得从10.0.2.0的网段访问192.168.1.0网段时不做NAT转换
FW1:
https://i-blog.csdnimg.cn/direct/ed95d72ef0b447a79c5b45693c4254e3.png
https://i-blog.csdnimg.cn/direct/bd081742b7534db1bc850cd779d18306.png
FW2:
https://i-blog.csdnimg.cn/direct/76b854eee291495a951337503c8881ef.png
https://i-blog.csdnimg.cn/direct/ebf1bea40d6c41a39368a44018f48efb.png
(7)测试一下IPsec VPN通道环境:
利用办公区的PC2去ping 分公司的PC3:
https://i-blog.csdnimg.cn/direct/2b23ff6a256e43b8b90a4ce5b1f98f80.png
抓包查看流量:
在防火墙FW4的g1/0/0接口:
https://i-blog.csdnimg.cn/direct/87847359829d4546b6742b93f8365f0d.png
在防火墙FW1的g1/0/1接口:
https://i-blog.csdnimg.cn/direct/d95038fc8bf640ddbedd1c525506032e.png
测试成功!!!
至此实行全部完成!!!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]