华三防火墙建立IPSEC VPN和NAT穿越问题(大学生易读版)

2023-12-28 21:30:53

一.拓扑以及介绍

??????? 其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。

二.配置思路

????????

三.配置

??????? 华三web界面可以直接创建策略组在里面配置阶段一阶段二,并匹配acl和接口调用。

????????(配置前提是在路由协议基础下实现两端可达)

一下操作都在策略(map)里面

按照从上到下的顺序1.匹配对端2.阶段一3.acl4.阶段二并调用

正常来说为1.阶段一2.阶段二3.匹配对端,acl,调用

1.策略初始化并匹配对端

2.阶段一配置

3.acl调用

4.阶段二配置

5.对端也采用同样的配置方法即可

四.华三防火墙NAT穿越的特殊性

1.注意事项

????????华三上面当同事存在VPN和NAT的时候,会优先匹配VPN的acl并加以封装,再匹配NAT,所以说正常配置vpn的匹配acl和转公网的acl就行

2.问题

??????? r1要实现vpn的同时实现上网

3.解决方法

??????? (1)vpn上精准匹配

??????? (2)nat正常配置

??????? 不用考虑过多,正常配置就行,思科是先进行NAT再进行VPN所以说要多考虑一步

五.关于安全策略的配置

??????? 一共分为三种

??????? 一是站点和站点之间来回IKE一二阶段来回协商的IKE报文

??????? 二是pc到pc之间传递的穿越流量

??????? 三是ipsec加密之后站点和站点之间的ipsec-esp或则ipsec-ah报文

六.尾言

本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。

文章来源:https://blog.csdn.net/qq_74338624/article/details/135274940
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。