1, 需求:
SiteA与SiteB之间需要通过CP建立VPN,但是双方都不能暴露自己的内网地址给对方,双方协商约定VPN建立的相关参数如下:
SiteA公网ip:1.1.1.1
SiteA服务地址为192.168.111.111:80 感兴趣流量
SiteB公网ip:2.2.2.2
SiteB服务地址为192.168.112.111:80 感兴趣流量
Pre-Shared key : 123456
Phase1:
Perform key exchange : 3des
Perform date : md5
Use DH : group 2
Renegotiate IKE time : 3600 minutes
Phase2:
Perform ipsec date : 3des
Perform date : md5
Use perfect forward secret
Use DH : group 2
Renegotiate IKE time : 36000 seconds
2, Site-to-site VPN建立视图参考
根据上面的参数可以得出双方必须把本地的真实服务器经过NAT后通过VPN隧道与对方进行交互。下面针对SiteA方进行详细过程介绍。
2.1,首先建立VPN DOMAIN
VPN DOMAIN解释:CP建立VPN时必须先将需要经过VPN的IP地址段通过VPN DOMAIN的形式告知CP,包括源和目的网段。假定此方案中针对SiteA方源为192.168.111.0/24网段,目的为192.168.112.0/24网段。如图:
确定即可,同理建立VPN_DOMAIN_REM 192.168.112.0 255.255.255.0的VPN DOMAIN。
2.2,建立本地CP的GateWay
本地CP GW依照防火墙的是否为cluster等来建立,本例依照cluster来建立,如图:
Topology结构如果是本地GW可以通过Get获取,如果是对段的GW则需要手工建立(或者不建立也可以)。然后手工选定VPN DOMAIN,其它保持默认即可。
2.3,建立对端GW
如果对段也是CP,就按照2.2所述进行配置即可。这里要讲的是其他设备的GW建立。首先需要明确的是默认情况下CP的左边可能没有Interoperable Device这一项,所以需要添加这一项,如图:
Topology结构需要手工建立,或者不建立。VPN DOMAIN手工指定,其它保持默认即可。
2.4,建立site-to-site VPN
我们这里例举site-to-site VPN的建立过程,如图:
点击进去后,在General输入名称即可,在Center Gateways选刚建立的Local_GW,Satellite Gateways选择SiteB_GW,VPN Properties如图:
其它选项都保持默认,即可。
到这里为止,site-to-site的VPN已经建立好,但是还没有做匹配策略。
3, 匹配策略建立
3.1,建立Notes
建立Notes,配置NAT选项,如图:
其中10.1.1.1为真实主机。
注意:这样NAT后的该主机路由到防火墙后都会先进行NAT然后匹配策略,不管是否为VPN的策略。即假如此主机通过防火墙还有其他应用(不需要进行NAT的策略)要做,则不能这样做NATed的VPN,不过貌似好像也没有其他办法来实现NATed的VPN。需要指明的是
这个NAT与旁边的Security策略是独立的,即假如在这上面做了NAT后不会再去匹配Security策略了。同样建立对端的Notes。
3.2,建立匹配策略
需要注意的是,这里源和目的地址要包括数据流的两个方向,然后加上log好针对日志进行排障。
3.3,Install 此策略即可:
3.4,打开日志,进行检测:
到此为止,经过NAT的VPN已经建立好,然后就是通讯测试过程了。
阐述的比较肤浅,没怎么讲原理性的东西。也许会有不正确的地方,仅供参考,同时更希望参阅者能提出宝贵意见。多谢了。