更新时间:2024-10-11 GMT+08:00
示例:深信服防火墙配置
操作场景
用户数据中心的出口防火墙选用深信服设备,同时在DMZ区域旁路接入了一台IPsec VPN设备,需要通过VPN接入华为云网络。
拓扑连接
拓扑连接方式:
- 使用防火墙设备直接和云端建立VPN连接。
- 使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。
VPN接入方式的配置指导,相关信息说明如下:
- 用户数据中心VPN设备私网IP:10.10.10.10/24
- 用户数据中心用户子网:10.0.0.0/16
- 防火墙出口IP:11.11.11.2/24,公网网关:11.11.11.1,VPN设备的NAT IP:11.11.11.11
- 云端VPN网关IP:22.22.22.22,云端子网:172.16.0.0/16
现通过创建VPN连接方式来连通本地网络到VPC子网。
图1 深信服NAT场景
华为云端的VPN连接资源策略配置按照图2所示信息配置,使用DMZ区域专用的VPN设备进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省。
配置步骤
本实例以华为云端VPN配置信息为基础,详细介绍用户侧深信服设备的VPN配置。
- 配置IPsec VPN
- IKE一阶段配置
- IPsec二阶段配置
- 安全选项配置
- 配置路由
- 配置策略及NAT
配置验证
本地子网与云上子网互访正常。
父主题: 站点入云VPN经典版
