更新时间:2024-11-29 GMT+08:00
分享

示例:深信服防火墙配置

操作场景

用户数据中心的出口防火墙选用深信服设备,同时在DMZ区域旁路接入了一台IPsec VPN设备,需要通过VPN接入华为云网络。

拓扑连接

拓扑连接方式:

  • 使用防火墙设备直接和云端建立VPN连接。
  • 使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。

VPN接入方式的配置指导,相关信息说明如下:

  • 用户数据中心VPN设备私网IP:10.10.10.10/24
  • 用户数据中心用户子网:10.0.0.0/16
  • 防火墙出口IP:11.11.11.2/24,公网网关:11.11.11.1,VPN设备的NAT IP:11.11.11.11
  • 云端VPN网关IP:22.22.22.22,云端子网:172.16.0.0/16

现通过创建VPN连接方式来连通本地网络到VPC子网。

图1 深信服NAT场景

华为云端的VPN连接资源策略配置按照图2所示信息配置,使用DMZ区域专用的VPN设备进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省。

图2 华为云VPN策略配置

配置步骤

本示例以华为云端VPN配置信息为基础,详细介绍用户侧深信服设备的VPN配置。

  1. 配置IPsec VPN

    1. IKE一阶段配置

    选择“VPN > IPsec VPN > 第三方对接 > 第一阶段 ”,确认线路出口(深信服设备会针对该接口自动下发VPN路由信息),单击“新增”。

    图3 IKE一阶段配置

    在弹窗界面配置一阶段基本信息和高级配置项,配置界面如图4所示。

    图4 参数配置

    基本信息:

    • 设备名称:自主命名一阶段连接名称,二阶段会调用此设备名称下的相关配置。
    • 设备地址类型:选择“对端是固定IP”。
    • 固定IP:云端VPN网关IP,本示例IP:22.22.22.22
    • 认证方式:预共享密钥,即PSK,与云端密钥相同。
    • 启用设备/启用主动连接:可选。

    高级配置:

    • ISAKMP存活时间:与云端相同86400s。
    • 支持模式:深信服设备存在NAT穿越场景时请选择“野蛮模式”。
    • D-H群:与云端一致,选择“MODP1536群(5)”。
    • 本端/远端身份类型:IP地址,身份ID选择网关IP,NAT场景选择NAT后的IP。
    • 使用DMZ专用VPN设备选择开启NAT穿越,选择防火墙不开启NAT穿越。
    • DPD为可选配置(推荐不选),加密和认证算法与云端一致。
    1. IPsec二阶段配置

    选择“ VPN > IPsec VPN > 第三方对接 > 第二阶段 ”,分别新增“入站策略”和“出站策略”,详细配置如图5所示。

    图5 IPsec二阶段配置

    入站策略:

    • 策略名称:自主命名。
    • 源IP类型:选择“子网和掩码”。
    • 子网及掩码:填入流入本地设备的子网信息,多个子网逐条创建。
    • 对端设备:调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】。
    • 入站服务选择所有,生效时间选择全天,并启用该策略。

    出站策略:

    • 策略名称:自主命名策略。
    • 源IP类型:选择“子网和掩码”。
    • 子网及掩码:填入流出本地设备的子网信息,多个子网逐条创建。
    • 对端设备:调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】。
    • SA生存时间:选择和云端一致的3600s
    • 出站服务选择所有,生效时间选择全天,并启用该策略。
    • 密钥完美向前保密:启用,即开启PFS,DH group选择与IKE相同。
    1. 安全选项配置

      选择“ VPN > IPsec VPN > 第三方对接 > 安全选项 ”,单击“新增”,在弹出页面配置自定义名称,协议选择与云端相同的“ESP”,认证和加密算法也与云端配置相同,详细配置如图6所示。

      图6 安全选项配置

  2. 配置路由

    选择“ 网络 > 路由 > 静态路由 ”,单击“新增”。不同类别设备的操作页面存在差异。

    1. 使用DMZ区域专用VPN设备配置连接。
    • VPN设备使用原有缺省路由即可,对应VPN路由在IPsec配置时会自动生成;
    • 防火墙添加目标地址为云端子网,下一跳为VPN设备建立VPN连接的私网IP;
    1. 使用防火墙配置VPN连接(该场景下不涉及专用VPN设备配置)。
    • 防火墙添加目标地址为云端子网,下一跳为出接口的公网IP。

  3. 配置策略及NAT

    1. 选择“ 网络 > 地址转换 ”单击“新增”,配置NAT信息。
    2. 选择“ 访问控制 > 应用控制策略 ”单击“新增”,配置访问策略。

      在本示例拓扑中,选择防火墙或DMZ区域专用的VPN设备,在策略及NAT配置同样存在不同之处。

    3. 使用DMZ区域专用VPN设备配置连接。
      • 先配置网关地址两个方向的NAT信息

        WAN→DMZ(VPN设备所在区域)源地址ANY,目标地址:11.11.11.11,源端口ANY,目标端口选择AH、ESP、ICMP及UDP的500、4500,转换后IP:10.10.10.10。

        DMZ→ WAN 源地址:10.10.10.10,目标地址:22.22.22.22,源端口ANY,目标端口选择AH、ESP、ICMP及UDP的500、4500,转换后IP:11.11.11.11。

      • 配置云端子网和本地子网互访的两个方向放行策略

        WAN→LAN 源地址:172.16.0.0/16,目标地址:10.0.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)。

        LAN→ WAN 源地址:10.0.0.0/16,目标地址:172.16.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)。

    4. 使用防火墙配置VPN连接

      不需要配置NAT信息,需要配置子网间的放行策略,并添加VPN连接建立的放行策略。

      WAN→ DMZ(VPN设备所在区域) 源地址为ANY,目标地址:11.11.11.2(防火墙出接口地址),服务为AH、ESP、ICMP及UDP的500、4500,策略为放行。

      DMZ→ WAN 源地址:11.11.11.2,目标地址为ANY,服务为AH、ESP、ICMP及UDP的500、4500,策略为放行。

配置验证

本地子网与云上子网互访正常。

相关文档