摘要：本文简单描述了在防火墙上配置IP地址，VPN，服务器映射以及简单路由方法，以盛世网安多功能防火墙用户XXX工程有限责任公司的网络配置为实例，教你如何设置网络基本配置方法和详细步骤，补充文档给出了一种IPsec穿越NAT的基本配置案例。

　　一、网络结构描述

　　二、结构分析

　　1、公司网络分为两个部分，总部和公司分部，双方希望通过盛世网安安全网关的VPN功能相互连接，实现互访。

　　2、总部和分部通过静态IP连接到internet 。

　　3、在总部的盛世网安VS1000U6上做NAT转换实现多用户上网，在盛世网安VS1000U6和VS100U3上的wan1口上选择静态IP方式上网，输入ISP机构分配的地址。 由于在总部的VS1000U6背后存在三层交换机，所以需要增加一条回程路由 指向192.168.1.2(详细见后面图解)。

　　4、在总部的盛世网安VS1000U6上设置IPSEC--vpn服务器端，在VS100U3上设置IPSEC—vpn客户端。

　　具体配置过程图解:

　　A、将设备LAN1口和计算机用交叉线连接，然后配置计算机的IP地址使计算机IP地址和VS1000的LAN口地址在同一网段。

　　B、在计算机浏览器中使用https://192.168.0.254:10000登陆设备，用户名admin 密码888888。

　　C、登陆到如下界面，选择基本配置菜单，选择WAN/DMZ设置子菜单。

　　D、选择WAN1口 WAN1配置选择静态IP，输入电信提供的IP相关信息和DNS信息。在上行带宽处一般设置实际带宽大小，或者填写更大的参数，然后保存、重新启动。

　　E、选择基本配置菜单，进入“模式选择”子菜单，选择NAT模式、保存、重新启动。

　　F、选择基本配置菜单，进入“LAN端口设置”子菜单。输入内部网关地址/或三层交换机的网关地址，保存。

　　G、增加一条静态路由，把回程到10..0.0.0/8的数据包路由到三层交换机。

　　H、选择基本配置菜单，进入“时间设置”子菜单。输入时间服务器地址，选择启用、保存。

　　I、VPN配置部分，进入VPN配置部分。

　　选择VPN 配置列表

　　选择新增服务器端(如果在分公司则新增客户端)输入相关网络信息确定、保存。

　　J：防火墙部分设置，如果需要把公司的WEB服务器 EMAIL服务器等 信息发布到internet则需要使用IP地址映射(PAT设置)，或者IP 地址映射双向NAT设置。在本例中我们只讲标准的端口映射。步骤如下:

　　选择新增，输入相关网络信息、 确定。

　　然后在防火墙规则中增加WAN口到LAN口的HTTP与DNS服务允许通过的规则。

　　三、网络连通性测试

　　1、借助ping命令测试网络设备之间是否可达

　　2、 借助telnet命令测试 PC能否到达服务器相关的传输层端口。

　　3、借助专业的测试工具测试网络的连通性。

　　4、用//共享文件传输测试VPN的性能。

　　扩展知识：(下文)

　　IPSEC相关知识补充

　　IPsec NAT穿越

　　关键词：IPsec、NAT、野蛮模式

　　摘要： 本文简单描述了IPsec穿越NAT网关的特点，详细描述了在tamin盛世网安系列防火墙上配置IPsec

　　野蛮模式下穿越NAT的基本配置方法和详细步骤将在以后的文章中给出，本文给出了一种IPsec穿越NAT的基本介绍。

　　缩略语：

　　缩略语英文全名中文解释

　　VPNVirtual Private Network\虚拟私有网

　　IPsecIP securityIP安全

　　NATNetwork Address Translation网络地址转换

　　IKEInternet Key ExchangeInternet密钥交换

　　一、特性介绍

　　IPsec(IP security)协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

　　IPsec作为一种重要的安全技术得到越来越广泛的应用，但是客户网络边缘大量使用的NAT地址转换操作可能影响到IPsec的正常操作。目前，NAT和IPsec之间存在的不兼容性问题主要可以分为以下三类：

　　1：IP地址和端口不匹配的问题

　　2：IPsec不能验证NAT报文的问题

　　3：NAT超时影响IPsec的问题

　　针对此问题，我司在IKE野蛮模式的基础上实现NAT穿越，很好地解决了此问题。

　　为了使IKE支持目前广泛应用的通过ADSL及拨号方式构建VPN的方案中的特殊情况――即局端设备的IP地址为固定分配的，用户端设备的IP地址为动态获取的情况，在IKE阶段的协商模式中增加了IKE野蛮模式，它可以选择根据协商发起端的IP地址或者ID来查找对应的身份验证字，并最终完成协商。IKE野蛮模式相对于主模式来说更加灵活，能够支持协商发起端为动态IP地址的情况。

　　在IPsec/IKE组建的VPN隧道中，若存在NAT网关设备，且NAT网关设备对VPN业务数据流进行了NAT转换的话，则必须配置IPsec/IKE的NAT穿越功能。该功能删去了IKE协商过程中对UDP端口号的验证过程，同时实现了对VPN隧道中NAT网关设备的发现功能，即如果发现NAT网关设备，则将在之后的IPsec数据传输中使用UDP封装(即将IPsec报文封装到IKE协商所使用的UDP连接隧道里)的方法，避免了NAT网关对IPsec报文进行篡改(NAT网关设备将只能够修改最外层的IP和UDP报文头，对UDP报文封装的IPsec报文将不作修改)，从而保证了IPsec报文的完整性(IPsec数据加密解密验证过程中要求报文原封不动地被传送到接收端)。目前仅在IKE野蛮模式下支持NAT穿越，主模式下不支持。

　　二、特性和优点

　　该特性适合IPsec隧道中间存在NAT设备的组网情况。同时，由于使用了IKE野蛮模式，同样也适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。

　　三、使用指南

　　1：使用场合

　　A. IPsec隧道中间存在NAT设备的组网情况

　　B. 适用于IP地址不固定的远程访问用户与总部之间建立IPsec隧道的情况。

　　2：配置步骤

　　配置野蛮模式下IPsec穿越NAT，需要以下步骤：

　　A、配置访问控制列表

　　B、配置IKE对等体

　　C、定义安全提议

　　D、创建安全策略

　　E、在接口上应用安全策略