山石-G防火墙(V5.5)对接华为云配置指引
华为云配置信息说明
VPN网关IP:11.11.11.11
VPC子网:192.168.10.0/24,192.168.20.0/24
客户侧网关IP:22.22.22.22
客户侧子网:172.16.10.0/24,172.16.20.0/24,172.16.30.0/24
协商策略详情:
一阶段策略(IKE Policy)
认证算法(Authentication Algorithm): sha2-256
加密算法(Encryption Algorithm): aes-128
版本(Version): v1
DH算法(DH Algorithm ): group14
生命周期(Life Cycle): 86400
协商模式(Exchange-mode ): main
二阶段策略(IPsec Policy)
传输协议(Transfer Protocol): esp
认证算法(Authentication Algorithm): sha2-256
加密算法(Encryption Algorithm): aes-128
完美前向安全(PFS):DH-group14
生命周期(Life Cycle): 86400
客户侧设备组网与基础配置假设
内网接口:ethnet0/0 所属zone为Trust,接口IP为b.b.b.1/24。
外网接口:ethnet0/1 所属zone为Untrust,接口IP为B.B.B.Y/24。
缺省路由:目标网段0.0.0.0/0 出接口ethnet0/1,下一跳为ethnet0/1的网关IP,如B.B.B.1。
安全策略:Trust访问Untrust,源地址、目标地址及服务均为any,动作放行。
NAT策略:源地址为内网网段,目标地址为ANY,转换为出接口IP。
VPN配置过程
登录设备WEB管理界面,在导航栏中选择“VPN > IPsec VPN”。
- 配置P1提议:输入提议名称,选择认证方式为Pre-share,认证算法、加密算法和DH组等参数,详细参数参见华为云配置信息说明。
- 配置P2提议:输入提议名称,协议选择、认证算法、加密算法和PFS等参数,详细参数参见华为云配置信息说明,不启用压缩和生存大小。
- 配置VPN 对端列表:
- 基本配置:输入名称,选择公网接口ethnet0/1,选择协议标准(只支持V1版本)和认证模式,类型选择静态IP,对端IP地址键入华为云VPN网关IP地址11.11.11.11,本地ID选择IPv4 22.22.22.22,调用已配置好的P1提议并输入与华为云侧相同的预共享密钥。
- 高级配置:建议配置如下,连接类型选择双向,启用NAT穿越,开启对端存活检测,DPD间隔与重试时间默认即可,不启用XAUTH服务器。
- 配置IKE VPN列表
- 接口配置:
- 在导航栏安全域下新建一个VPN的安全域,进行命名为VPN,类型选择三层安全域。
- 在导航栏接口下新建一隧道接口,完成名称编号,所属安全域(划入新建的VPN安全域);IP配置选择静态IP,不填写IP信息;隧道类型为IPsec VPN,隧道绑定配置选择已创建的IKE VPN列表名称。
- 安全策略,新建以下安全策略,并将该策略置顶。
- 新建源区域为trust,目标区域为VPN区域,服务为any,动作为允许。
- 新建源区域为VPN区域,目标区域为trust,服务为any,动作为允许。
- 配置路由 目标网段为华为云私网(192.168.10.0/24,192.168.20.0/24),下一跳选择为接口,接口选择为VPN使用的tunnel口。
- 安全策略中需要添加本地公网IP与华为云网关IP的互访规则,协议为UDP的500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。
- 代理ID(待加密数据流的网段)请填写真实IP和掩码,请勿调用地址对象。
- 若客户侧网络存在多出口时,请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出,推荐使用静态路由配置选择出口网络。
功能验证
VPN连接配置完成后,深信服设备勾选主动连接后会主动发起协商,云上不会主动触发隧道建立。
华为云触发方式:私网间数据流触发,例如用192.168.10.0/24网段的主机去ping 172.16.10.0/24网段主机。
用私网地址ping对端公网网关IP不触发隧道协商,例如172.16.10.0/24网段主机ping 11.11.11.11是不会触发隧道建立的。