网络安全防御【IPsec VPN搭建】

发表于 2024-8-1 09:28:00

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？立即注册

×

目录
一、实行拓扑图
二、实行要求
三、实行思绪
四、实行步骤：
修改双机热备的为主备模式：
2、配置 交换机LSW6新增的配置：
3、防火墙（FW4）做相关的基础配置：
4、搭建IPsec VPN通道
（1）由于我们这里是在NAT环境下搭建的IPsec VPN，因此我们只有一种选择：通信保护协议选择ESP协议的隧道模式，因特网密钥交换协议中的第一阶段选择野蛮模式，也就是ESP协议，隧道模式，野蛮模式三者搭配来举行配置。（FW4 要与 FW2的配置信息同等）。
（2）在FW1上面做相关的NAT计谋和服务器映射：
（3）放通IKE协商的流量
（4）我们的目的是要10.0.2.0/24网段访问192.168.1.0/24，以是必要将该流量引入到FW1上去，再由FW4将封装事后的流量发给FW1。但此时流量是直接发送给防火墙的，以是我们必要引流。新建静态路由:
（5）放通10.0.2.0与192.168.1.0两网段相互通信的流量
（6）FW1与FW2上新建NAT计谋使得从10.0.2.0的网段访问192.168.1.0网段时不做NAT转换
(7)测试一下IPsec VPN通道环境：

一、实行拓扑图

二、实行要求

20、将双机热备改成主备模式，通过内网的VPN设备构建一条到达分公司的IPsec VPN通道，包管10.0.2.0/24网段可以访问到192.168.1.0/24网段

三、实行思绪

首先将我们的双机热备由之前的负载分担模式改为主备模式，可是适当的删减一些虚拟IP使设备减轻分担
为我们新建的防火墙（VPN）做相关的基础配置
搭建我们的IPsec VPN通道，由于是内网的VPN，就会在NAT环境中应用，以是通信保护协议选择ESP协议的隧道模式，因特网密钥交换协议中的第一阶段选择野蛮模式。去配置相应的IPsec VPN计谋，安全计谋，NAT计谋。

四、实行步骤

修改双机热备的为主备模式：

先将虚拟IP 7和8删除：
FW1:

FW3:

关闭所有的虚拟MAC，然后切换双机热备为主备模式：
FW1:

FW3:

成功修改为主备模式！！！
2、配置交换机LSW6新增的配置：

[Huawei]int g0/0/5
[Huawei-GigabitEthernet0/0/5]p l a
[Huawei-GigabitEthernet0/0/5]port default vlan 2 // 将FW4划分到VLAN 2中

复制代码

3、防火墙（FW4）做相关的基础配置：

开启防火墙后必要登录用户名和密码，第一次默认的用户名：admin，密码：Admin@123;
登录成功之后必要修改你的密码才能进入防火墙的用户视图。
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们必要在浏览器中打开FW2的web服务就必要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。
在防火墙中g0/0/0口中开启所有的服务：
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit

在FW4的g1/0/0接口上面配：

4、搭建IPsec VPN通道

（1）由于我们这里是在NAT环境下搭建的IPsec VPN，因此我们只有一种选择：通信保护协议选择ESP协议的隧道模式，因特网密钥交换协议中的第一阶段选择野蛮模式，也就是ESP协议，隧道模式，野蛮模式三者搭配来举行配置。（FW4 要与 FW2的配置信息同等）。

FW4: