深信服-SSL-M7.6对接华为云配置指引

华为云配置信息说明

VPN网关IP：11.11.11.11

VPC子网：192.168.10.0/24，192.168.20.0/24

客户侧网关IP：22.22.22.22

客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24

协商策略详情：

一阶段策略（IKE Policy）

认证算法（Authentication Algorithm）: sha2-256

加密算法（Encryption Algorithm）: aes-128

版本（Version）: v1

DH算法（DH Algorithm ）: group14

生命周期（Life Cycle）: 86400

协商模式（Exchange-mode ）: main

二阶段策略（IPsec Policy）

传输协议（Transfer Protocol）: esp

认证算法（Authentication Algorithm）: sha2-256

加密算法（Encryption Algorithm）: aes-128

完美前向安全（PFS）：DH-group14

生命周期（Life Cycle）: 86400

客户侧设备组网与基础配置假设

部署模式：网关模式。

内网接口：LAN 接口IP为192.168.10.1/24。

外网接口：线路1 即WAN1 接口IP为22.22.22.22/24。

缺省路由：线路1的网关IP,如22.22.22.1。

防火墙规则：LAN访问WAN，源地址、目标地址及服务均为any，动作通过。

代理上网网段配置：源接口LAN，源地址为内网网段，目的接口WAN1目标地址为All IP，转换为目的接口地址。

VPN配置过程

登录设备WEB管理界面，在控制台中选择“IPsec VPN配置 ＞ 第三方对接配置”。

1. 安全提议：即配置二阶段提议，选择新增，弹出页签输入名称，协议、认证算法和加密算法与华为云保持一致（参见华为云配置信息说明）。
2. 第一阶段：
   1. 基本配置：右侧选择新增，弹出页签键入名称，选择线路为出公网线路1，设备地址类型为对端固定IP，固定IP填写11.11.11.11，认证方式选择预共享密钥，并键入预共享密钥，勾选启用设备和启用主动连接。
   2. 高级配置：在基本页面左下角选择高级，在新弹出页签中配置存活时间、支持模式、D-H群、认证算法、加密算法等参数与华为云一致，推荐勾选启用DPD，间隔与次数保持默认即可。
   3. 特殊配置：深信服存在NAT穿越时，只能使用野蛮模式进行对接，且深信服设备不支持IKEv2，在选择野蛮模式时请设置深信服的身份ID为IPv4公网IP，即NAT之后的公网IP。

3. 第二阶段：
   1. 入站策略：选择新增，弹出页签键入名称，源IP类型选择子网+掩码，一次输入一个华为云私网网段（192.168.10.0/24，192.168.20.0/24），服务选择所有服务，生效时间选择全天，勾选启用该策略。
   2. 出站策略：选择新增，弹出页签键入名称，源IP类型选择子网+掩码，一次输入一个本地私网网段（172.16.10.0/24，172.16.20.0/24，172.16.30.0/24），对端设备调用已配置的第一阶段提议，生命周期与华为云相同，服务选择所有服务，生效时间选择全天，勾选启用该策略，安全选项调用已配置的安全提议，勾选启用该策略和密钥完美向前保密（PFS）。
   3. 特殊配置：勾选PFS后二阶段D-H组与第一阶段相同，云下存在多个子网网段时，每一个出站策略均需要配置对端设备、安全选项和PFS。

4. 防火墙规则设置：增加VPN-LAN，LAN-VPN的互访放行策略，服务分别为all-tcp，all-udp，ping。

• 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。
• 待加密数据流的网段请填写真实IP和掩码，请勿调用地址对象。
• 若客户侧网络存在多出口时，请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出，推荐使用静态路由配置选择出口网络。

功能验证

VPN连接配置完成后，深信服设备勾选主动连接后会主动发起协商，云上不会主动触发隧道建立。

华为云触发方式：私网间数据流触发，例如用192.168.10.0/24网段的主机去ping 172.16.10.0/24网段主机。

用私网地址ping对端公网网关IP不触发隧道协商，例如172.16.10.0/24网段主机ping 11.11.11.11是不会触发隧道建立的。