推荐点击下面图片,通过本站淘宝优惠价购买:
一.拓扑以及介绍
其中华三防火墙4和5分别为防火墙两端,不采用华三防火墙和思科路由器建立VPN的原因是加密协议不匹配,在R3的上面作为有8.8.8.8作为isp。
二.配置思路
三.配置
华三web界面可以直接创建策略组在里面配置阶段一阶段二,并匹配acl和接口调用。
(配置前提是在路由协议基础下实现两端可达)
一下操作都在策略(map)里面
按照从上到下的顺序1.匹配对端2.阶段一3.acl4.阶段二并调用
正常来说为1.阶段一2.阶段二3.匹配对端,acl,调用
1.策略初始化并匹配对端
2.阶段一配置
3.acl调用
4.阶段二配置
5.对端也采用同样的配置方法即可
四.华三防火墙NAT穿越的特殊性
1.注意事项
华三上面当同事存在VPN和NAT的时候,会优先匹配VPN的acl并加以封装,再匹配NAT,所以说正常配置vpn的匹配acl和转公网的acl就行
原因:我原本ipsec vpn和nat都是高级acl精准匹配了原目地址,能实现pc和对端建立连接以及上网。
但我把vpn的acl原目地址改anyany后,不可以上网到isp,但仍可以到对端了(因该是匹配上vpn的acl进行封装了)。可是nat穿越问题优先匹配nat的acl再匹配vpn的acl
2.问题
r1要实现vpn的同时实现上网
3.解决方法
(1)vpn上精准匹配
(2)nat正常配置
不用考虑过多,正常配置就行,思科是先进行NAT再进行VPN所以说要多考虑一步
五.关于安全策略的配置
一共分为三种
一是站点和站点之间来回IKE一二阶段来回协商的IKE报文
二是pc到pc之间传递的穿越流量
三是ipsec加密之后站点和站点之间的ipsec-esp或则ipsec-ah报文
本文链接:https://hqyman.cn/post/5796.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下,本站随机推荐观看栏目:
