checkpoint 建立nated的vpn实现方法

《checkpoint 建立nated的vpn实现方法》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、CheckPoint建立NATed的VPN实现方法一1，需求：SiteA与SiteB之间需要通过CP建立VPN，但是双方都不能暴露自己的内网地址给对方，双方协商约定VPN建立的相关参数如下：SiteA公网ip：1.1.1.1  SiteA服务地址为192.168.111.111:80感兴趣流量SiteB公网ip：2.2.2.2SiteB服务地址为192.168.112.111:80感兴趣流量Pre-Sharedkey:123456Phase1：Performkeyexchange:3des                Per

2、formdate:md5                      UseDH:group2                        RenegotiateIKEtime:3600minutes            Phase2:                              Performipsecdate:3des                  Performdate:md5                      Useperfectforwardsecret                  

3、UseDH:group2                        RenegotiateIKEtime:36000seconds  2，Site-to-siteVPN建立视图参考根据上面的参数可以得出双方必须把本地的真实服务器经过NAT后通过VPN隧道与对方进行交互。下面针对SiteA方进行详细过程介绍。2.1，首先建立VPNDOMAINVPNDOMAIN解释：CP建立VPN时必须先将需要经过VPN的IP地址段通过VPNDOMAIN的形式告知CP，包括源和目的网段。假定此方案中针对SiteA方源为192.168.111.

4、0/24网段，目的为192.168.112.0/24网段。如图：确定即可，同理建立VPN_DOMAIN_REM192.168.112.0255.255.255.0的VPNDOMAIN。2.2，建立本地CP的GateWay本地CPGW依照防火墙的是否为cluster等来建立，本例依照cluster来建立，如图：Topology结构如果是本地GW可以通过Get获取，如果是对段的GW则需要手工建立（或者不建立也可以）。然后手工选定VPNDOMAIN，其它保持默认即可。2.3，建立对端GW如果对段也是CP，就按照2.2所述进行配置即可

5、。这里要讲的是其他设备的GW建立。首先需要明确的是默认情况下CP的左边可能没有InteroperableDevice这一项，所以需要添加这一项，如图：Topology结构需要手工建立，或者不建立。VPNDOMAIN手工指定，其它保持默认即可。2.4，建立site-to-siteVPN我们这里例举site-to-siteVPN的建立过程，如图：点击进去后，在General输入名称即可，在CenterGateways选刚建立的Local_GW，SatelliteGateways选择SiteB_GW，VPNProperties如图：

6、其它选项都保持默认，即可。到这里为止，site-to-site的VPN已经建立好，但是还没有做匹配策略。3，匹配策略建立3.1，建立Notes建立Notes，配置NAT选项，如图：其中10.1.1.1为真实主机。注意：这样NAT后的该主机路由到防火墙后都会先进行NAT然后匹配策略，不管是否为VPN的策略。即假如此主机通过防火墙还有其他应用（不需要进行NAT的策略）要做，则不能这样做NATed的VPN，这样就需要借助AddressTranslation手工建立NAT选项来做了。需要指明的是这个NAT与旁边的Security策略是

7、相对独立的，即假如在这上面做了NAT后如果要再去匹配Security策略，就需要严格做好nat和security的绑定关系了。后面还有一篇文章讲述利用AddressTranslation来做NATed的VPN。同样建立对端的Notes。3.2，建立匹配策略需要注意的是，这里源和目的地址要包括数据流的两个方向，然后加上log好针对日志进行排障。3.3，Install此策略即可：3.4，打开日志，进行检测：到此为止，经过NAT的VPN已经建立好，然后就是通讯测试过程了。