USG6000v2 NAT模式下IPSEC 實驗

拓撲圖

公網配置OSPF路由協議（網絡要求能通就行）

一、 總部配置

（一）交換機配置

1、 總部交換機到防火墻網段 192.168.10.0/24
2、 交換機G0/0設置成access端口劃分vlan 10，網關 192.168.10.1/24
3、 交換機G0/1設置成access端口劃分vlan 20 ,網關192.168.20.1/24
4、 默認路由配置 ip rout 0.0.0.0 0.0.0.0 192.168.10.2

（二）防火墻配置

1、g/2口配置ip地址192.168.10.2/24
2、g0/1口配置公網ip 10.1.1.2/24，網關地址指向10.1.1.1/24

3、配置NAT上網策略

5、 配置策略放通流量,放通內網192.168.10.0/24 192.168.20.0/24的上網流量（我這里默認any 沒有寫明細網段）

6、 配置出口路由（ip route-static 0.0.0.0 0.0.0.0 10.1.1.1）、回包路由（指向vlan10的網關地址(ip route-static 192.168.20.0 255.255.255.0 192.168.10.1)（配置完成后可使用內網PC機ping 外網地址是否能通）

7、 配置IPSEC ，協商秘鑰、版本等,（兩端是NAT點到點的需要選擇V1模式），且感興趣流需要再NAT策略里配置“不做轉換”。

點擊高級選擇V1，其他默認

8、 配置策略放通總部-分部IPSEC流量，這里需要配置四條策略，也可以簡化成兩條。
(1)、放通分部-總部IKE協商報文策略、（Untrust-local）

(2)、放通總部-分部IKE協商報文策略（Local-Untrust）

(3)、放通分部-總部的流量策略 (Untrust-turst)

(4)、放通總部-分部的流量策略(turst-untrust)

9、 配置總部到分部172.16.20.0/24的默認路由

10、 配置源區域trust 源地址192.168.20.0/24 到目的區域untrust 目的地址 172.16.20.0/24 ，不作轉換的NAT

二、分部配置

（一）交換機配置

11、 分部交換機到防火墻網段 172.16.10.0/24
12、 交換機G0/0設置成access端口劃分vlan 10，網關 172.16.10.1/24
13、 交換機G0/1設置成access端口劃分vlan 20 ,網關172.16.20.1/24
14、 默認路由配置 ip rout 0.0.0.0 0.0.0.0 172.16.10.1

（二）防火墻配置

1、g/2口配置ip地址172.16.10.2/24
2、g0/1口配置公網ip 10.1.5.2/24，網關地址指向10.1.5.1/24

3、配置NAT上網策略

4、配置策略放通流量

5、配置指向外網網關的默認路由；內網回包路由，指向vlan10的網關地址(ip route-static 172.16…20.0 255.255.255.0 172.16.10.1)

6、配置IPSEC ，協商秘鑰、版本等，

7、配置策略放通總部-分部IPSEC流量（也是做四條放通策略，鏡像總部的配置，源目的區域地址調換即可）

(1)、放通總部-分部IKE協商報文策略、（Untrust-local）

(2)、放通分部-總部部IKE協商報文策略、（local-untrust）

(3)、放通總部到分部的IPsec流量訪問策略（Untrust-trust）

(4)、放通分部-總部的IPsec流量訪問策略（trust-untrust）

8、配置到總部192.168.20.0/24網段的靜態路由

9、配置源區域trust 源地址172.16.20.0/24 到目的區域untrust 目的地址 192.168.20.0/24 ，不作轉換的NAT

三、測試
(一)、查看IPsec 是否建立成功

（二）、PC8 ping PC9,查看總部和分部網段是否能夠通訊

如有問題可以留言或者加群交流 478075018