深信服FW对接华为云VPN配置指导

网友投稿 1426 2022-05-29

【背景】

本地数据中心的出口防火墙选用深信服设备,同时在DMZ区域旁路接入了一台Ipsec VPN,现需要通过VPN接入华为云。

通过VPN接入华为云网络时,有两种选择:

1、使用本地数据中心防火墙设备直接和华为云端建立VPN连接;

2、使用本地数据中心DMZ区域的专用VPN结合NAT穿越技术与华为云端建立VPN连接;

本文档内容介绍以上两种VPN接入方式的配置指导。

【拓扑】

实验目标:通过创建VPN连接方式来连通本地网络到VPC子网。(10.0.0.0/16连通172.16.0.0/16)

相关信息说明如下:

1、本地数据中心:DMZ区VPN私网IP 10.10.10.10/24;

2、本地子网:本地子网为10.0.0.0/16;用户需要访问云上VPC

3、NAT配置信息:

ü  公网防火墙:11.11.11.1,

ü  NAT出口IP: 11.11.11.2/24,

ü  VPN设备的NAT映射公网 IP: 11.11.11.11

4、云端VPN网关:IP 22.22.22.22,

5、云端子网:172.16.0.0/16;

【操作步骤】

一、华为云端的VPN连接资源策略配置

在控制台,按照如下图信息配置

本实例以华为云端VPN配置信息为基础,详细介绍用户侧深信服设备的VPN配置。

二、深信服配置

1)IKE一阶段配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第一阶段】,确认线路出口(深信服设备会针对该接口自动下发VPN路由信息),选择“新增”第一阶段

深信服FW对接华为云VPN配置指导

在弹窗界面配置一阶段基本信息和高级配置项,配置界面如下图所示

注:使用DMZ区域专用的VPN进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省主模式或野蛮模式。

深信服设备信息说明

基本信息

【设备名称】自主命名一阶段连接名称,二阶段会调用此设备名称下的相关配置

【设备地址类型】选择“对端是固定IP”

【固定IP】云端VPN网关IP,本实例IP为22.22.22.22

【认证方式】预共享密钥,即PSK,与云端密钥相同

勾选启用设备,启用主动连接为可选配置

高级配置

【ISAKMP存活时间】与云端相同86400s

【支持模式】深信服设备存在NAT穿越场景时推荐选择“野蛮模式”

【D-H群】与云端一致,选择“MODP1536群(5)”

【本端/远端身份类型】IP地址,身份ID选择网关IP,NAT场景选择NAT后的IP

使用DMZ专用VPN选择开启NAT穿越,选择防火墙不开启NAT穿越

DPD为必选配置,加密和认证算法与云端一致,华为云DPD格式为seq-hash-notify

2)Ipsec二阶段配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第二阶段】,分别新增“入站策略”和“出站策略”,详细配置见下图所示

入站策略

n  【策略名称】自主命名

n  【源IP类型】选择“子网和掩码”

n  【子网及掩码】填写流入本地的子网信息,多个子网逐条创建

n  【对端设备】调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】

n  入站服务选择所有,生效时间选择全天,并启用该策略

出站策略

n  【策略名称】自主命名策略

n  【源IP类型】选择“子网和掩码”

n  【子网及掩码】填写流出本地的子网信息,多个子网逐条创建

n  【对端设备】调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】

n  【SA生存时间】选择和云端一致的3600s出站服务选择所有,生效时间选择全天,并启用该策略

n  【密钥完美向前保密】启用,即开启PFS,此时深信服设备的DH group会与IKE阶段group相同

3)安全选项配置

选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【安全选项】,选择“新增”按钮,在弹出页面配置自定义名称,协议选择与云端相同的“ESP”,认证和加密算法也与云端配置相同,详细配置见下图所示

三、配置路由

选择【网络】>>【路由】>>【静态路由】后进行新增操作(不同类别设备的操作页面存在差异)。

1.  使用DMZ区域专用网络配置连接

1)   VPN使用原有缺省路由即可,对应VPN路由在IPsec配置时会自动生成;

2)   防火墙添加目标地址为云端子网,下一跳为设备建立VPN连接的私网IP;

2.  使用防火墙配置VPN连接(该场景下不涉及专用网络配置)

1)   防火墙添加目标地址为云端子网,下一跳为出接口的公网IP

四、配置策略及NAT

选择【网络】>>【地址转换】进行新增操作,配置NAT信息;选择【访问控制】>>【应用控制策略】进行新增操作,配置访问策略。在本实例拓扑中,选择防火墙或DMZ区域专用网络,在策略及NAT配置同样存在不同之处。

1.   使用DMZ区域专用配置连接,先配置网关地址两个方向的NAT信息

1)   WAN→DMZ(所在区域)源地址ANY,目标地址11.11.11.11,源端口ANY,目标端口选择ICMP、UDP500、UDP4500,转换后IP10.10.10.10

2)   DMZ→WAN源地址10.10.10.10,目标地址22.22.22.22,源端口ANY,目标端口选择ICMP、UDP500、UDP4500,转换后IP 11.11.11.11

再配置云端子网和本地子网互访的两个方向放行策略

3)   WAN→LAN源地址为172.16.0.0/24,目标地址为10.0.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)

4)   LAN→WAN源地址为10.0.0.0/24,目标地址为172.16.0.0/16,服务为ANY,策略为放行(不配置该网段访问的NAT)

2.   使用防火墙配置VPN连接

不需要配置NAT信息,仅配置子网间的放行策略,还需添加VPN连接建立的放行策略

1)   WAN→DMZ(所在区域) 源地址为ANY,目标地址为11.11.11.2(防火墙出接口地址),服务为ICMP、UDP500、UDP4500,策略为放行

2)   DMZ→WAN源地址为11.11.11.2,目标地址为ANY,服务为ICMP、UDP500、UDP4500,策略为放行

五、结果验证

通过ping测试,本地子网与云上子网互访正常

六、故障排除

在配置完成后,若发现VPN无法正常使用,可按照如下方式进行排查:

1、检查VPN两侧协商信息

2、检查防火墙ACL和云端安全组配置

3、检查防火墙路由表

4、检查防火墙域间策略

5、检查防火墙NAT配置

详细内容可参考官网链接:https://support.huaweicloud.com/trouble-vpn/vpn_06_0000.html

虚拟专用网络 VPN

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Cloud Foundry介绍
下一篇:tomcat
相关文章