IPSEC在NAT场景中所遇到的问题

时间：2024-07-03 12:57:08浏览次数：26

标签：10.1 场景 155.1 algorithm 255.255 0.0 source NAT IPSEC

一、实验拓扑

二、基础配置

如上图所示配置相应的接口地址和主机地址（此处省略..........）

三、详细配置及结果验证

（一）FW1和FW2通过IPSEC及NAT实现跨外网连接

FW3防火墙NAT设置

[FW3-address-group-NAT_POOL]dis th
#
nat address-group NAT_POOL 1
mode no-pat global
section 0 155.1.12.12 155.1.12.12
#

[FW3-policy-nat-rule-NAT]dis th
#
rule name NAT
source-zone trust
destination-zone untrust
source-address 10.1.121.12 mask 255.255.255.255
action source-nat address-group NAT_POOL
#

在FW1和FW3启用OSPF并设置默认路由

[FW3]dis ip routing-table protocol static

Destination/Mask Proto Pre Cost Flags NextHop Interface

0.0.0.0/0 Static 60 0 RD 155.1.12.2 GigabitEthernet1/0/0

[FW3-ospf-1]dis th
#
ospf 1
default-route-advertise
area 0.0.0.0
network 10.1.0.0 0.0.255.255
#

[FW3]dis firewall session table
Current Total Sessions : 1
udp VPN: public --> public 10.1.121.12:4500[155.1.12.12:4500] --> 155.1.132.1
3:4500

FW1和FW2防火墙之间设置站点到站点IPSEC vpn

FW1设置

acl number 3000
rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255
#
ipsec proposal LAN_SET
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ike proposal 10
encryption-algorithm 3des
dh group2
authentication-algorithm sha1
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer FW2
pre-shared-key HUAWEI@123
ike-proposal 10

nat traversal
remote-address 155.1.132.13
#
ipsec policy LAN_MAP 10 isakmp
security acl 3000
ike-peer FW2
proposal LAN_SET
#

FW2设置

nat traversal
remote-address 155.1.12.12
#
ipsec policy LAN_MAP 10 isakmp
security acl 3000
ike-peer FW1
proposal LAN_SET
#

防火墙安全策略

[FW1-policy-security]dis th#
security-policy
rule name LOCAL_TO_ANY
source-zone local
action permit
rule name IN_TO_OUT
source-zone trust
destination-zone untrust
action permit
rule name OUT_TO_LOCAL
source-zone untrust
destination-zone local
service protocol udp destination-port 4500
service protocol udp destination-port 500
action permit
rule name OUT_TO_IN
source-zone untrust
destination-zone trust
source-address 10.1.0.0 mask 255.255.0.0
destination-address 10.1.0.0 mask 255.255.0.0
action permit
#

FW2安全策略与FW1相同

四、结果验证

PC>ping 10.1.13.10

Ping 10.1.13.10: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 10.1.13.10: bytes=32 seq=2 ttl=126 time=16 ms
From 10.1.13.10: bytes=32 seq=3 ttl=126 time=31 ms

[FW1]dis ike sa

IKE SA information :
Conn-ID Peer VPN Flag(
s) Phase RemoteType RemoteID
--------------------------------------------------------------------------------
----------------------------------------------------
70 155.1.132.13:4500 RD|A
v2:2 IP 155.1.132.13
69 155.1.132.13:4500 RD|A
v2:1 IP 155.1.132.13

Number of IKE SA : 2
--------------------------------------------------------------------------------
----------------------------------------------------

标签：10.1,场景,155.1,algorithm,255.255,0.0,source,NAT,IPSEC
From： https://blog.csdn.net/earthtoearth/article/details/140095263

Sora技术如何革新教育领域：预测未来教育中的降AI率应用场景
Sora——这个让人在24年初引爆AI圈的新产品，它究竟会如何改变我们的教育领域呢？从gpt到Sora，从对话型的ai到游戏和短剧制作的新风口，我们从23年到24年一个接一个地被震惊！Sora能够根据文本提示生成高质量的视频内容，这打开了一个全新的创意世界。对于教育行业来说，这意味着什么呢......
SPI-MRAM 和 PPI-MRAM 分别适用于哪些应用场景？
猜你想问的是SPI和PPI的MRAM的应用场景，SPI-MRAM和PPI-MRAM是两种不同类型的磁随机存取存储器（MRAM），它们的区别在于它们与处理器的连接方式和可访问性，在应用场景上也有所不同： -SPI-MRAM：是一种高速、全双工、同步的通信总线，在芯片管脚只占用四根线，可以为PCB布局节省空间。它通......
从美图类场景，看火山引擎数据飞轮如何赋能产品增长
伴随移动移动互联网发展以及手机拍摄能力提升，美图类APP已成为人们手机中常见的应用之一。根据广发证券发展研究中心《数字媒体行业AI系列报告：美图类APP，商业模式逐渐清晰，AIGC加速付费心智培养》显示，从行业整体流量来看，拍摄美化行业的MAU在2019年中达到峰值，2020年起随着互联网行业......
Java中semaphore的具体解释产生原因和使用场景
Semaphore（信号量）信号量（Semaphore）是一种用于控制多个线程对共享资源访问的同步机制。它实质上是一个计数器，可以用来限制能够访问某些资源的线程数量。信号量可以是二进制的（只允许一个线程访问）或计数的（允许多个线程访问，具体数目由信号量的值决定）。信号量产生的原因信号量最......
【AI应用探讨】—K近邻（KNN）应用场景
目录1.金融市场分析2.市场细分与客户分类3.房地产估价4.客户服务5.欺诈检测6.手写识别与图像识别7.生物信息学8.智能个人助手9.交通规划10.医疗诊断1.金融市场分析信用评分与信贷决策：金融机构运用KNN算法预测个人或企业的信用评分，辅助信贷决策和风险......
前端在for循环中使用Element-plus el-select中的@click.native动态传参
<el-tableref="table":data="editTableVariables"@cell-dblclick="handleRowDblClick"style="width:100%"><el-table-columnprop=&q......
文献阅读-Distributed Constrained Combinatorial Optimization leveraging Hypergra
DistributedConstrainedCombinatorialOptimizationleveragingHypergraphNeuralNetworks AbstractScalableaddressingofhighdimensionalconstrainedcombinatorialoptimizationproblemsisachallengethatarisesinseveralscienceandengineering......
No native JavaCPP library in memory. (Has Loader.load() been called?)
Exceptioninthread"main"java.lang.RuntimeException:NonativeJavaCPPlibraryinmemory.(HasLoader.load()beencalled?) atorg.bytedeco.javacpp.BytePointer.<init>(BytePointer.java:103) atorg.bytedeco.javacv.Frame.<init>(Frame......
【Java面试场景题】如何设计一个敏感词过滤系统？
一、问题解析下图是一个完整的文本审核流程，包括名单匹配、敏感词匹配、AI机器审核、人工审核四个环节。待审核文本需要顺次通过名单匹配、敏感词匹配、AI机器审核三个流程，若结果为嫌疑则需要人工审核，否则将直接给出确定的结果。敏感词匹配功能可以迅速地匹配文本中的敏感词汇......
mac m3 pro : Could not initialize class com.sun.jna.Native
java.lang.NoClassDefFoundError:Couldnotinitializeclasscom.sun.jna.Nativejava.lang.UnsatisfiedLinkError:/Users/wang/Library/Caches/JNA/temp/jna2072012754992384454.tmp:dlopen(/Users/wang/Library/Caches/JNA/temp/jna2072012754992384454.tmp,0x0001):......

IPSEC在NAT场景中所遇到的问题

相关文章

赞助商

阅读排行