CheckPoint建立NATed的VPN方法二
2008-03-31 18:28:58
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://ipneter.blog.51cto.com/341177/69142 | ||||||||||||||||||||||||||||||||||||||||
1,场景分析:
某公司A内部有一台主机a需要通过VPN访问公司B的一主机b的FTP服务,同时这台主机a还需要通过此防火墙访问外网。但是双方都不能爆楼自己的内网地址,也就是说主机a需要在流出本地端后经过NAT成另外一个地址到公司B与主机b通讯。这就涉及到了需要在CheckPoint上建立VPN,NAT(非host的nat)以及不同策略等。下面假设拓扑图如下:
例如:Host1到host4的数据流应该是192.168.11.1到192.168.111.1的,但是需要在checkpoint上面做好nat和vpn的访问策略,所以在192.168.11.1访问192.168.112.1(对端会将192.168.111.1经过nat到192.168.112.1)在CP上会将源地址经过NAT成192.168.12.1然后经过vpn加密的策略路由到192.168.112.1,到达对方后先进行VPN的解密然后将目的地址NAT成192.168.111.1。
2,NAT策略安装
NAT策略安装如下图:
 策略1表示192.168.11.1访问192.168.112.1的数据模型;
策略2表示192.168.112.1返回到192.168.12.1的数据模型;
策略3就是192.168.11.0/24访问其他网段的需要将源地址NAT成1.1.1.0/29网段的模型。
3,VPN配置
这里需要注意的就是VPN_Domain。本地端VPN_Domain_loc包含192.168.11.1-3和192.168.12.1-3。而对端VPN_Domain_rem包含192.168.112.1-3。VPN的其他参数请参考“CheckPoint 建立NATed的VPN实现方法一”。
4,访问策略部署
访问策略应该为源地址为192.168.11.1-3和192.168.12.1-3,目的为192.168.111.1-3和192.168.112.1-3的80服务,经过上面的VPN加密。而返回的数据则是源地址为192.168.111.1-3和192.168.112.1-3到192.168.11.1-3和192.168.12.1-3经过上面的VPN解密。策略的其他部署信息请参考“CheckPoint 建立NATed的VPN实现方法一”。
本文出自 “Network Manage Tech Experience” 博客,请务必保留此出处http://ipneter.blog.51cto.com/341177/69142 本文出自 51CTO.COM技术博客 |
chris_lee
博客统计信息
热门文章
最新评论
友情链接
