示例:深信服防火墙配置
操作场景
用户数据中心的出口防火墙选用深信服设备,同时在DMZ区域旁路接入了一台IPsec VPN设备,需要通过VPN接入华为云网络。
拓扑连接
拓扑连接方式:
- 使用防火墙设备直接和云端建立VPN连接。
- 使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。
VPN接入方式的配置指导,相关信息说明如下:
- 用户数据中心VPN设备私网IP:10.10.10.10/24
- 用户数据中心用户子网:10.0.0.0/16
- 防火墙出口IP:11.11.11.2/24,公网网关:11.11.11.1,VPN设备的NAT IP:11.11.11.11
- 云端VPN网关IP:22.22.22.22,云端子网:172.16.0.0/16
现通过创建VPN连接方式来连通本地网络到VPC子网。
华为云端的VPN连接资源策略配置按照图2所示信息配置,使用DMZ区域专用的VPN设备进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省。
配置步骤
本示例以华为云端VPN配置信息为基础,详细介绍用户侧深信服设备的VPN配置。
- 配置IPsec VPN
- IKE一阶段配置
选择“VPN > IPsec VPN > 第三方对接 > 第一阶段 ”,确认线路出口(深信服设备会针对该接口自动下发VPN路由信息),单击“新增”。
图3 IKE一阶段配置
在弹窗界面配置一阶段基本信息和高级配置项,配置界面如图4所示。
基本信息:
- 设备名称:自主命名一阶段连接名称,二阶段会调用此设备名称下的相关配置。
- 设备地址类型:选择“对端是固定IP”。
- 固定IP:云端VPN网关IP,本示例IP:22.22.22.22
- 认证方式:预共享密钥,即PSK,与云端密钥相同。
- 启用设备/启用主动连接:可选。
高级配置:
- ISAKMP存活时间:与云端相同86400s。
- 支持模式:深信服设备存在NAT穿越场景时请选择“野蛮模式”。
- D-H群:与云端一致,选择“MODP1536群(5)”。
- 本端/远端身份类型:IP地址,身份ID选择网关IP,NAT场景选择NAT后的IP。
- 使用DMZ专用VPN设备选择开启NAT穿越,选择防火墙不开启NAT穿越。
- DPD为可选配置(推荐不选),加密和认证算法与云端一致。
- IPsec二阶段配置
选择“ VPN > IPsec VPN > 第三方对接 > 第二阶段 ”,分别新增“入站策略”和“出站策略”,详细配置如图5所示。
入站策略:
- 策略名称:自主命名。
- 源IP类型:选择“子网和掩码”。
- 子网及掩码:填入流入本地设备的子网信息,多个子网逐条创建。
- 对端设备:调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】。
- 入站服务选择所有,生效时间选择全天,并启用该策略。
出站策略:
- 策略名称:自主命名策略。
- 源IP类型:选择“子网和掩码”。
- 子网及掩码:填入流出本地设备的子网信息,多个子网逐条创建。
- 对端设备:调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】。
- SA生存时间:选择和云端一致的3600s
- 出站服务选择所有,生效时间选择全天,并启用该策略。
- 密钥完美向前保密:启用,即开启PFS,DH group选择与IKE相同。
- 安全选项配置
选择“ VPN > IPsec VPN > 第三方对接 > 安全选项 ”,单击“新增”,在弹出页面配置自定义名称,协议选择与云端相同的“ESP”,认证和加密算法也与云端配置相同,详细配置如图6所示。
- 配置路由
选择“ 网络 > 路由 > 静态路由 ”,单击“新增”。不同类别设备的操作页面存在差异。
- 使用DMZ区域专用VPN设备配置连接。
- VPN设备使用原有缺省路由即可,对应VPN路由在IPsec配置时会自动生成;
- 防火墙添加目标地址为云端子网,下一跳为VPN设备建立VPN连接的私网IP;
- 使用防火墙配置VPN连接(该场景下不涉及专用VPN设备配置)。
- 防火墙添加目标地址为云端子网,下一跳为出接口的公网IP。
- 配置策略及NAT
- 选择“ 网络 > 地址转换 ”单击“新增”,配置NAT信息。
- 选择“ 访问控制 > 应用控制策略 ”单击“新增”,配置访问策略。
- 使用DMZ区域专用VPN设备配置连接。
- 使用防火墙配置VPN连接
不需要配置NAT信息,需要配置子网间的放行策略,并添加VPN连接建立的放行策略。
WAN→ DMZ(VPN设备所在区域) 源地址为ANY,目标地址:11.11.11.2(防火墙出接口地址),服务为AH、ESP、ICMP及UDP的500、4500,策略为放行。
DMZ→ WAN 源地址:11.11.11.2,目标地址为ANY,服务为AH、ESP、ICMP及UDP的500、4500,策略为放行。
配置验证
本地子网与云上子网互访正常。