1, 需求:
SiteA与SiteB之间需要通过CP建立×××,但是双方都不能暴露自己的内网地址给对方,双方协商约定×××建立的相关参数如下:
SiteA公网ip:1.1.1.1   
SiteA服务地址为192.168.111.111:80 感兴趣流量
SiteB公网ip:2.2.2.2
SiteB服务地址为192.168.112.111:80 感兴趣流量
Pre-Shared key : 123456
Phase1:
Perform key exchange : 3des                        
Perform date : md5                                 
Use DH : group 2                                   
Renegotiate IKE time : 3600 minutes                
Phase2:                                            
Perform ipsec date : 3des                          
Perform date : md5                                 
Use perfect forward secret                         
Use DH : group 2                                   
Renegotiate IKE time : 36000 seconds 
2, Site-to-site ×××建立视图参考
根据上面的参数可以得出双方必须把本地的真实服务器经过NAT后通过×××隧道与对方进行交互。下面针对SiteA方进行详细过程介绍。
2.1,首先建立××× DOMAIN
××× DOMAIN解释:CP建立×××时必须先将需要经过×××的IP地址段通过××× DOMAIN的形式告知CP,包括源和目的网段。假定此方案中针对SiteA方源为192.168.111.0/24网段,目的为192.168.112.0/24网段。如图:
clip_p_w_picpath002 clip_p_w_picpath004
确定即可,同理建立×××_DOMAIN_REM 192.168.112.0 255.255.255.0的××× DOMAIN。
2.2,建立本地CP的GateWay
本地CP GW依照防火墙的是否为cluster等来建立,本例依照cluster来建立,如图:
clip_p_w_picpath006
clip_p_w_picpath008
clip_p_w_picpath010
Topology结构如果是本地GW可以通过Get获取,如果是对段的GW则需要手工建立(或者不建立也可以)。然后手工选定××× DOMAIN,其它保持默认即可。
2.3,建立对端GW
如果对段也是CP,就按照2.2所述进行配置即可。这里要讲的是其他设备的GW建立。首先需要明确的是默认情况下CP的左边可能没有Interoperable Device这一项,所以需要添加这一项,如图:
clip_p_w_picpath012
clip_p_w_picpath014
clip_p_w_picpath016
clip_p_w_picpath018
Topology结构需要手工建立,或者不建立。××× DOMAIN手工指定,其它保持默认即可。
2.4,建立site-to-site ×××
我们这里例举site-to-site ×××的建立过程,如图:
clip_p_w_picpath020
点击进去后,在General输入名称即可,在Center Gateways选刚建立的Local_GW,Satellite Gateways选择SiteB_GW,××× Properties如图:
clip_p_w_picpath022
clip_p_w_picpath024
clip_p_w_picpath026
其它选项都保持默认,即可。
到这里为止,site-to-site的×××已经建立好,但是还没有做匹配策略。
3, 匹配策略建立
3.1,建立Notes
建立Notes,配置NAT选项,如图:
clip_p_w_picpath028
clip_p_w_picpath030
其中10.1.1.1为真实主机。
clip_p_w_picpath032
注意:这样NAT后的该主机路由到防火墙后都会先进行NAT然后匹配策略,不管是否为×××的策略。即假如此主机通过防火墙还有其他应用(不需要进行NAT的策略)要做,则不能这样做NATed的×××, 这样就需要借助Address Translation手工建立NAT选项来做了。需要指明的是 clip_p_w_picpath034 这个NAT与旁边的Security策略是相对独立的,即假如在这上面做了NAT后如果要再去匹配Security策略,就需要严格做好nat和security的绑定关系了。后面还有一篇文章讲述利用Address Translation来做NATed的×××。
同样建立对端的Notes。
3.2,建立匹配策略
clip_p_w_picpath036
需要注意的是,这里源和目的地址要包括数据流的两个方向,然后加上log好针对日志进行排障。
3.3,Install 此策略即可:
clip_p_w_picpath038
3.4,打开日志,进行检测:
clip_p_w_picpath040
到此为止,经过NAT的×××已经建立好,然后就是通讯测试过程了。
阐述的比较肤浅,没怎么讲原理性的东西。也许会有不正确的地方,仅供参考,同时更希望参阅者能提出宝贵意见。多谢了。