HQY 一个和谐有爱的空间

一.拓扑以及介绍

        其中华三防火墙4和5分别为防火墙两端，不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配，在R3的上面作为有8.8.8.8作为isp。

二.配置思路

        

三.配置

        华三web界面可以直接创建策略组在里面配置阶段一阶段二，并匹配acl和接口调用。

        （配置前提是在路由协议基础下实现两端可达）

一下操作都在策略（map）里面

按照从上到下的顺序1.匹配对端2.阶段一3.acl4.阶段二并调用

正常来说为1.阶段一2.阶段二3.匹配对端，acl，调用

1.策略初始化并匹配对端

2.阶段一配置

3.acl调用

4.阶段二配置

5.对端也采用同样的配置方法即可

四.华三防火墙NAT穿越的特殊性

1.注意事项

        华三上面当同事存在VPN和NAT的时候，会优先匹配VPN的acl并加以封装，再匹配NAT,所以说正常配置vpn的匹配acl和转公网的acl就行

        原因：我原本ipsec vpn和nat都是高级acl精准匹配了原目地址，能实现pc和对端建立连接以及上网。
                   但我把vpn的acl原目地址改anyany后，不可以上网到isp，但仍可以到对端了（因该是匹配上vpn的acl进行封装了）。可是nat穿越问题优先匹配nat的acl再匹配vpn的acl

2.问题

        r1要实现vpn的同时实现上网

3.解决方法

        （1）vpn上精准匹配

        （2）nat正常配置

        不用考虑过多，正常配置就行，思科是先进行NAT再进行VPN所以说要多考虑一步

五.关于安全策略的配置

        一共分为三种

        一是站点和站点之间来回IKE一二阶段来回协商的IKE报文

        二是pc到pc之间传递的穿越流量

        三是ipsec加密之后站点和站点之间的ipsec-esp或则ipsec-ah报文

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/5796.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~