新闻资讯

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

2019-06-02 admin

深信服广域网优化WOC产品可以部署在数据中心和分支机构的广域网出口,通过流削减、流压缩、流缓存和协议加速等技术,削减70%的冗余流量,将丢包率降低至1%,节省50%的链路费用,3-10倍提升应用速度,最终实现应用性能或广域网速度的提升。
小编下面就用实例来给大家演示深信服WOC设备怎么通过标准的IPSEC VPN来对接H3C的防火墙,首先我们来看一下网络拓扑图

 

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

 

一、基础场景设备介绍:

总部是一台SANGFOR WOC设备,单臂部署,分支是一台华三的防火墙,网关模式部署,总部和分支建立标准的IPSEC VPN

注意事项,首先要检查WOC是否有第三方授权,在控制台->维护->序列号中查看

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

 

单臂部署需要在出口设备做好UDP500、4500端口映射

二、华三(H3C)防火墙配置步骤

1、配置安全选项
# 创建 IPsec 安全提议为transform-gxdx
[GLDX_Master_FW]ipsec transform-set transform-gxdx
# 配置采用的安全协议为 ESP。
[GLDX_Master_FW-ipsec-transform-set-transform-gxdx]protocol esp
# 配置 ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5。
[DeviceA-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceA-ipsec-transform-set-transform1] esp authentication-algorithm md5

2、配置IKE SA参数
#创建IKE proposal 为1
[GLDX_Master_FW]ike proposal 1
# 配置D-H群为group2
[GLDX_Master_FW-ike-proposal-1]dh group2
# 配置 ISAKMP加密算法为 3DES, ISAKMP认证算法为 HMAC-MD5。
[GLDX_Master_FW-ike-proposal-1]encryption-algorithm 3des-cbc
[GLDX_Master_FW-ike-proposal-1]authentication-algorithm md5
#配置ISAKMP存活时间
[GLDX_Master_FW-ike-proposal-1]sa duration 3600

3、配置共享密钥
# 创建 IKE keychain,名称为 keychain-gxdx
[GLDX_Master_FW]ike keychain keychain-gxdx
# 配置对端主机名为 gxdx 对端使用的预共享密钥为明文    密钥:sangfor

[GLDX_Master_FW-ike-keychain-keychain-gxdx]pre-shared-key hostname gxdx key simple sangfor

4、配置协商模式、身份ID类型和身份ID
#创建 IKE profile,名称为 profile-gxdx
[GLDX_Master_FW]ike profile profile-gxdx
# 指定引用的 IKE keychain 为 keychain-gxdx

[GLDX_Master_FW-ike-profile-profile-gxdx]keychain keychain-gxdx
#启用DPD  配置检测间隔为5秒
[GLDX_Master_FW-ike-profile-profile-gxdx]dpd interval 5 on-demand
# 配置协商模式为野蛮模式
[GLDX_Master_FW-ike-profile-profile-gxdx]exchange-mode aggressive
# 配置本端身份为 user-fqdn 名称  gldx

[GLDX_Master_FW-ike-profile-profile-gxdx]local-identity user-fqdn gldx
# 配置对端身份为 user-fqdn 名称  gxdx
[GLDX_Master_FW-ike-profile-profile-gxdx]match remote identity user-fqdn gxdx
#指定引用用IKE SA参数 为proposal 1
[GLDX_Master_FW-ike-profile-profile-gxdx]proposal 1

5、配置出入站策略
#创建acl advanced 3600

[GLDX_Master_FW]acl advanced 3600
#配置允许源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的数据流
[GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source 10.88.0.0 0.0.255.255 destination
10.145.1.0 0.0.0.255

#配置允许源IP 10.145.1.0/24 去往目的IP10.88.0.0/16的数据流

[GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source  10.145.1.0 0.0.0.255 destination
10.88.0.0 0.0.255.255

6、配置IPsec vpn策略以及引用相关配置
# 创建一条 IKE 协商方式的 IPsec 安全策略,名称为 policy-gxdx,顺序号为 1

[GLDX_Master_FW]ipsec policy policy-gxdx 1 isakmp
#指定应用IPsec 安全提议为transform-gxdx

[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]transform-set transform-gxdx
#指定应用出入站策略规则为acl 3600
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]security acl 3600
#配置 IPsec 隧道的本端 IP 地址为 116.1.3.91
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]local-address 116.1.3.91
#配置 IPsec 隧道的对端 IP 地址为 58.59.136.46
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]remote-address 58.59.136.46
#配置第二阶段出站的SA保活时间为3600
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]sa duration time-based 3600

7、在设备的互联网互联接口引用ipsec vpn策略
#进入互联网互联接口
[GLDX_Master_FW]interface GigabitEthernet 1/0/1
#配置互联网互联接口引用ipsec vpn策略

[GLDX_Master_FW-GigabitEthernet1/0/1]ipsec apply policy policy-gxdx

8、添加去往总部的VPN路由
目的地址写总部的服务器网段,下一跳交给总部的公网IP
[GLDX_Master_FW] ip route-static 10.145.1.0 255.255.255.0 58.59.136.46

9、配置分支去往总部的数据不被NAT
#进入NAT的配置规则
[GLDX_Master_FW]acl advanced 3000
#配置拒绝源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的数据流(ACL规则是从上往下匹配的,需要把deny的放在permit的上面)
[GLDX_Master_FW-acl-ipv4-adv-3000]rule deny ip source 10.88.0.0 0.0.255.255 destination
10.145.0.0 0.0.0.255

 

注意事项,华三防火墙的NAT优先级比ipsec vpn的优先高,需要到NAT配置deny 把源内网IP去往总部IP的数据包拒绝NAT,这样数据包就不会被NAT了

 

三、总部WOC配置

1、配置IPsec VPN第一阶段

使用野蛮模式,远程ip是对端的公网IP,IKE SA参数需要配置两端一致,启用DPD需要两端启用,有NAT环境需要启用NAT-T(NAT穿透),NAT-T对端无需配置会自动协商启用

 

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

 

2、配置IPsec VPN 第二阶段入站策略

服务和时间自定义,如果没有要求选择所有服务和全部生效,远程IP中填写分支的内网网段和掩码,选择对应的对端设备,启用该策略即可

 

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

 

3、配置IPsec VPN第二阶段出站策略

服务和时间自定义,如果没有要求选择所有服务和全部生效,本地IP中填写本地服务器的网段和掩码,选择对应的对端设备,SA保活时间  3600秒,启用该策略,需要把密钥完美向前保密的勾去掉,不启用这个功能

 

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

 

4、查看IPsec VPN状态

可以通过日志和VPN状态查看VPN隧道是否建立成功

 

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

深信服WOC设备通过标准IPSEC VPN对接H3C防火墙

 

 

注意事项:如果两端内网都有多个IP段需要访问,建议先使用一个网段把VPN隧道建立正常后再添加其他子网