怎么关闭自动升级(手机怎么关闭自动升级)
1426
2022-05-29
【背景】
本地数据中心的出口防火墙选用深信服设备,同时在DMZ区域旁路接入了一台Ipsec VPN,现需要通过VPN接入华为云。
通过VPN接入华为云网络时,有两种选择:
1、使用本地数据中心防火墙设备直接和华为云端建立VPN连接;
2、使用本地数据中心DMZ区域的专用VPN结合NAT穿越技术与华为云端建立VPN连接;
本文档内容介绍以上两种VPN接入方式的配置指导。
【拓扑】
实验目标:通过创建VPN连接方式来连通本地网络到VPC子网。(10.0.0.0/16连通172.16.0.0/16)
相关信息说明如下:
1、本地数据中心:DMZ区VPN私网IP 10.10.10.10/24;
2、本地子网:本地子网为10.0.0.0/16;用户需要访问云上VPC
3、NAT配置信息:
ü 公网防火墙:11.11.11.1,
ü NAT出口IP: 11.11.11.2/24,
ü VPN设备的NAT映射公网 IP: 11.11.11.11
4、云端VPN网关:IP 22.22.22.22,
5、云端子网:172.16.0.0/16;
【操作步骤】
一、华为云端的VPN连接资源策略配置
在控制台,按照如下图信息配置
本实例以华为云端VPN配置信息为基础,详细介绍用户侧深信服设备的VPN配置。
二、深信服配置
1)IKE一阶段配置
选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第一阶段】,确认线路出口(深信服设备会针对该接口自动下发VPN路由信息),选择“新增”第一阶段
在弹窗界面配置一阶段基本信息和高级配置项,配置界面如下图所示
注:使用DMZ区域专用的VPN进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省主模式或野蛮模式。
深信服设备信息说明
基本信息
【设备名称】自主命名一阶段连接名称,二阶段会调用此设备名称下的相关配置
【设备地址类型】选择“对端是固定IP”
【固定IP】云端VPN网关IP,本实例IP为22.22.22.22
【认证方式】预共享密钥,即PSK,与云端密钥相同
勾选启用设备,启用主动连接为可选配置
高级配置
【ISAKMP存活时间】与云端相同86400s
【支持模式】深信服设备存在NAT穿越场景时推荐选择“野蛮模式”
【D-H群】与云端一致,选择“MODP1536群(5)”
【本端/远端身份类型】IP地址,身份ID选择网关IP,NAT场景选择NAT后的IP
使用DMZ专用VPN选择开启NAT穿越,选择防火墙不开启NAT穿越
DPD为必选配置,加密和认证算法与云端一致,华为云DPD格式为seq-hash-notify
2)Ipsec二阶段配置
选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第二阶段】,分别新增“入站策略”和“出站策略”,详细配置见下图所示
入站策略
n 【策略名称】自主命名
n 【源IP类型】选择“子网和掩码”
n 【子网及掩码】填写流入本地的子网信息,多个子网逐条创建
n 【对端设备】调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】
n 入站服务选择所有,生效时间选择全天,并启用该策略
出站策略
n 【策略名称】自主命名策略
n 【源IP类型】选择“子网和掩码”
n 【子网及掩码】填写流出本地的子网信息,多个子网逐条创建
n 【对端设备】调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】
n 【SA生存时间】选择和云端一致的3600s出站服务选择所有,生效时间选择全天,并启用该策略
n 【密钥完美向前保密】启用,即开启PFS,此时深信服设备的DH group会与IKE阶段group相同
3)安全选项配置
选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【安全选项】,选择“新增”按钮,在弹出页面配置自定义名称,协议选择与云端相同的“ESP”,认证和加密算法也与云端配置相同,详细配置见下图所示
三、配置路由
选择【网络】>>【路由】>>【静态路由】后进行新增操作(不同类别设备的操作页面存在差异)。
1. 使用DMZ区域专用网络配置连接
1) VPN使用原有缺省路由即可,对应VPN路由在IPsec配置时会自动生成;
2) 防火墙添加目标地址为云端子网,下一跳为设备建立VPN连接的私网IP;
2. 使用防火墙配置VPN连接(该场景下不涉及专用网络配置)
1) 防火墙添加目标地址为云端子网,下一跳为出接口的公网IP
四、配置策略及NAT
选择【网络】>>【地址转换】进行新增操作,配置NAT信息;选择【访问控制】>>【应用控制策略】进行新增操作,配置访问策略。在本实例拓扑中,选择防火墙或DMZ区域专用网络,在策略及NAT配置同样存在不同之处。
1. 使用DMZ区域专用配置连接,先配置网关地址两个方向的NAT信息
1) WAN→DMZ(所在区域)源地址ANY,目标地址11.11.11.11,源端口ANY,目标端口选择ICMP、UDP500、UDP4500,转换后IP10.10.10.10
2) DMZ→WAN源地址10.10.10.10,目标地址22.22.22.22,源端口ANY,目标端口选择ICMP、UDP500、UDP4500,转换后IP 11.11.11.11
再配置云端子网和本地子网互访的两个方向放行策略
3) WAN→LAN源地址为172.16.0.0/24,目标地址为10.0.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)
4) LAN→WAN源地址为10.0.0.0/24,目标地址为172.16.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)
2. 使用防火墙配置VPN连接
不需要配置NAT信息,仅配置子网间的放行策略,还需添加VPN连接建立的放行策略
1) WAN→DMZ(所在区域) 源地址为ANY,目标地址为11.11.11.2(防火墙出接口地址),服务为ICMP、UDP500、UDP4500,策略为放行
2) DMZ→WAN源地址为11.11.11.2,目标地址为ANY,服务为ICMP、UDP500、UDP4500,策略为放行
五、结果验证
通过ping测试,本地子网与云上子网互访正常
六、故障排除
在配置完成后,若发现VPN无法正常使用,可按照如下方式进行排查:
1、检查VPN两侧协商信息
2、检查防火墙ACL和云端安全组配置
3、检查防火墙路由表
4、检查防火墙域间策略
5、检查防火墙NAT配置
详细内容可参考官网链接:https://support.huaweicloud.com/trouble-vpn/vpn_06_0000.html
虚拟专用网络 VPN
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。