Network Manage Tech Experience

Welcome to my tech home !!!
posts - 32, comments - 35, trackbacks - 0, articles - 0
  IT博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

CheckPoint 建立NATed的VPN实现

Posted on 2008-03-19 22:47 chris_lee 阅读(874) 评论(0)  编辑 收藏 引用 所属分类: Nokia&CP技术篇
Google 标签: , , ,

1, 需求:

SiteA与SiteB之间需要通过CP建立VPN,但是双方都不能暴露自己的内网地址给对方,双方协商约定VPN建立的相关参数如下:

SiteA公网ip:1.1.1.1   
SiteA服务地址为192.168.111.111:80 感兴趣流量
SiteB公网ip:2.2.2.2
SiteB服务地址为192.168.112.111:80 感兴趣流量

Pre-Shared key : 123456
Phase1:
Perform key exchange : 3des                        
Perform date : md5                                 
Use DH : group 2                                   
Renegotiate IKE time : 3600 minutes                
Phase2:                                            
Perform ipsec date : 3des                          
Perform date : md5                                 
Use perfect forward secret                         
Use DH : group 2                                   
Renegotiate IKE time : 36000 seconds 

2, Site-to-site VPN建立视图参考

根据上面的参数可以得出双方必须把本地的真实服务器经过NAT后通过VPN隧道与对方进行交互。下面针对SiteA方进行详细过程介绍。

2.1,首先建立VPN DOMAIN

VPN DOMAIN解释:CP建立VPN时必须先将需要经过VPN的IP地址段通过VPN DOMAIN的形式告知CP,包括源和目的网段。假定此方案中针对SiteA方源为192.168.111.0/24网段,目的为192.168.112.0/24网段。如图:

clip_image002 clip_image004

确定即可,同理建立VPN_DOMAIN_REM 192.168.112.0 255.255.255.0的VPN DOMAIN。

2.2,建立本地CP的GateWay

本地CP GW依照防火墙的是否为cluster等来建立,本例依照cluster来建立,如图:

clip_image006

clip_image008

clip_image010

Topology结构如果是本地GW可以通过Get获取,如果是对段的GW则需要手工建立(或者不建立也可以)。然后手工选定VPN DOMAIN,其它保持默认即可。

2.3,建立对端GW

如果对段也是CP,就按照2.2所述进行配置即可。这里要讲的是其他设备的GW建立。首先需要明确的是默认情况下CP的左边可能没有Interoperable Device这一项,所以需要添加这一项,如图:

clip_image012

clip_image014

clip_image016

clip_image018

Topology结构需要手工建立,或者不建立。VPN DOMAIN手工指定,其它保持默认即可。

2.4,建立site-to-site VPN

我们这里例举site-to-site VPN的建立过程,如图:

clip_image020

点击进去后,在General输入名称即可,在Center Gateways选刚建立的Local_GW,Satellite Gateways选择SiteB_GW,VPN Properties如图:

clip_image022

clip_image024

clip_image026

其它选项都保持默认,即可。

到这里为止,site-to-site的VPN已经建立好,但是还没有做匹配策略。

3, 匹配策略建立

3.1,建立Notes

建立Notes,配置NAT选项,如图:

clip_image028

clip_image030

其中10.1.1.1为真实主机。

clip_image032

注意:这样NAT后的该主机路由到防火墙后都会先进行NAT然后匹配策略,不管是否为VPN的策略。即假如此主机通过防火墙还有其他应用(不需要进行NAT的策略)要做,则不能这样做NATed的VPN,不过貌似好像也没有其他办法来实现NATed的VPN。需要指明的是clip_image034这个NAT与旁边的Security策略是独立的,即假如在这上面做了NAT后不会再去匹配Security策略了。同样建立对端的Notes。

3.2,建立匹配策略

clip_image036

需要注意的是,这里源和目的地址要包括数据流的两个方向,然后加上log好针对日志进行排障。

3.3,Install 此策略即可:

clip_image038

3.4,打开日志,进行检测:

clip_image040

到此为止,经过NAT的VPN已经建立好,然后就是通讯测试过程了。

阐述的比较肤浅,没怎么讲原理性的东西。也许会有不正确的地方,仅供参考,同时更希望参阅者能提出宝贵意见。多谢了。

只有注册用户登录后才能发表评论。