1、H3C secpath
F1000-A-E1防火墙
Secpath F1000-A-EI是H3C公司面向大型企业和运营商用户开发的新一代电信级别防火墙设备。支持外部攻击防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。
安全区域优先级:
非受信区(untrust): 5
非军事化区(dmz): 50
受信区(trust): 85
本地区域(local): 100
管理区域(manage): 100
2、ipsec vpn的配置:实现两个内网互访
1)配置访问控制列表,匹配保护的数据流
[R1]acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0
0.0.0.255
rule deny ip source any destination any
2)创建安全提议(传输集)
ipsec proposal ycq-set
encapsulation-mode tunnel (隧道模式,默认)
transform esp(|ah|ah-esp) (安全协议,默认esp)
esp enc des
esp auth sha1
3)配置ike对等体、协商模式和秘钥
ike peer bj
pre-share ycq-key
remote-address 201.1.1.1
4)配置ike协商方式的安全策略
ipsec policy ycqmap 1 isakmp
security acl 3000
proposal ycq-set
ike-peer bj
4)应用到接口
int e0/1/0
ipsec policy ycqmap
3、配置NAPT,实现内网可以访问外网
1)配置要NAT转换的acl,排除需要保护的vpn数据流(不转换NAT)
[R1]acl number 3001
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0
0.0.0.255
rule permit ip any source destination any
2)定义NAT转换后的地址池(NAPT只有一个地址)
nat address-group 1 200.0.0.10
200.0.0.10
3)在外网接口上配置acl和NAT地址池的关联
int e0/1/0
nat outbound 3001 address-group 1
4、查看ike状态:dis ike sa
查看ipsec状态:dis ipsec
sa
查看nat转换: dis nat
session|statistics