山石防火墙侧操作步骤

前提条件

山石防火墙的基本网络配置已完成。

操作步骤

1. 登录配置界面。

   此处以5.5R9版本为例，不同防火墙型号及软件版本可能存在差异，配置时请以对应版本的产品文档为准。

2. 配置基础设置。
   1. 配置安全域。

      选择“网络 > 安全域”，单击“新建”，关键参数配置如图1所示。

      图1 安全域配置
      
   2. 配置安全策略。

      选择“策略 > 安全策略 > 策略”，单击“新建 > 策略”，关键参数配置如图2所示。

      图2 策略配置
      
   3. 配置基础路由。

      选择“网络 > 路由 > 目的路由”，单击“新建”，关键参数配置如图3所示。

      图3 目的路由配置
      
3. 配置VPN连接。
   1. 选择“网络 > VPN > IPSec VPN”，在“IPSec VPN”页签下，单击“新建”。
   2. 在“对端选项”下拉选项中单击+号，添加对端信息。
   3. 在“提议1”下拉选项中单击+号新建阶段1提议，关键参数配置如图4 阶段1提议配置所示，单击“确定”。
      图4 阶段1提议配置
      
   4. 完成VPN对端配置。因为华为云VPN网关绑定两个EIP，故需要新建两个对端。

      “提议1”选择c中创建的阶段1提议，并在“高级设置”中使能NAT穿越和DPD检测，单击“确定”。

      图5 VPN对端配置
      
   5. 在“P2提议”下拉选项中单击+号新建阶段2提议，关键参数配置如图6 阶段2提议配置所示，单击“确定”。
      图6 阶段2提议配置
      
   6. 完成VPN连接配置，“对端选项”分别选择d中创建的两个VPN对端，“P2提议”为e中创建的P2提议，单击“确定”。
      图7 IPSec VPN配置
      
4. 配置tunnel接口。
   1. 选择“网络 > 接口”，单击“新建 > 隧道接口”。
   2. 配置两个tunnel接口，关键参数配置如图8所示。
      “安全域”选择a中创建的安全域，“VPN名称”分别选择f中创建的两个隧道名称。

      

      隧道绑定配置中，网关地址必须配置为对应的对端隧道接口地址，否则流量不通。

      图8 tunnel接口配置
      
5. 配置BGP。

   选择“网络 > 路由 > BGP”，完成BGP配置，关键参数配置如图9所示。

   其中，“路由器ID”配置为山石防火墙下行私网网口的网关地址，“网络”配置为用户数据中心网段，“邻居”配置为对端的两个tunnel接口。

   图9 BGP配置