深信服防火墙 (对接华三IPsec VPN)
华三防火墙端为分支无公网地址,做野蛮模式 接口配置和策略放通本文档中省略;本文中对端公网地址我用2.2.2.2作用在本文中,实际项目以现场为准;本端私网地址为192.168.1.0/24 对端为10.10.1.0/24 第一步:先配置IKE提议;也可以在创建策略里添加也行,这里先预配置ike;各位可以按需去加;网络>VPN>IPsec>策略>IKE提议;这里优先级为1;认证算法为MD5;加密算法为3DES-CBC;DH为DH group1;其他保存默认即可
第二步:网络>VPN>IPsec>策略;配置名称和角色为对等及本段接口和对端接口;本端选择上联口即可,对端为对端的公网ip地址;如下图 第三步:IKE策略,模式为野蛮模式;认证方式为预共享密钥;这里密钥跟对方要一致即可,这里我设置a123456;ike提议就选第一步我们创建的ike提议; 本端id我这里用的fqdn我这里设置18(这里要总部的设备写对端id的信息一致);对端id我这里用的是ipv4地址为对端的公网地址;如下图 第四步:保护的数据流;点击新建:源地址为本段需要访问对端的地址,目的地址为对端我们需要访问的地址;注意的是这里源和目的和对端必须一致,子网不能有偏差; 触发模式保留默认流量触发即可;如下图
第五步;高级设计中封装模式为隧道模式;安全协议为esp;esp认证算法为MD5;ESP加密算法为3DES-CBC; 第六步:开启DPD检测,我这里设置的检测间隔为30秒;华三的nat穿透是默认打开的,安全策略如果没有自己做的话,可以勾选生成安全策略,但是不建议在这里勾选,建议自己去策略那里自己添加;就做完了,提交;如下图 最后一步也是最关键一步:进入cli命令行去配置nat;把保护的数据流的源到目的不要做地址转换; 命令如下:先创建acl 然后到接口下调用 注:这里就配置完毕了,注意接口nat会跟策略nat冲突,导致接口nat不生效;华三有个测试的工具,可以在对端配置完成后验证;这里诊断如果通了的话会提示成功,如果不成功也会有到哪个阶段不通的提示
深信服防火墙配置 防火墙作为总部,有公网地址,这里出口公网地址本文的使用2.2.2.2;这里网络配置也不多做描述; 第一步:开启vpn功能;网络>sangfor/ipsecvpn>vpn运行状态,此处打开vpn;我这里已经打开了 第二步:先检查vpn线路是否正确;网络>sangfor/ipsecvpn>通用配置>VPN线路设置 第三步:创建ipsecvpn,网络>sangfor/ipsecvpn>ipscevpn配置;左上角新增第三方设备,设置名称和对端设备地址类型为动态ip,填写预共享密钥a123456;本端出口线路为出接口(这个就是第二步要检查的那个接口); 第四步:ipsec配置,点击新增,设置本段地址10.10.1.0/24,对端为192.168.1.0/24;服务都选择全部;阶段二安全提议设置为协议esp、加密算法3DES、认证算法MD5、密钥为空;其他保持默认后提交;
第五步:配置ike,点击高级设置,ike配置,版本信息为IKEv1;链接模式为野蛮模式; 本地身份id为ip地址2.2.2.2、对端身份id为字符串18,必须跟华三的保持一致;D-H为group1;DPD和NAT-T都启用;阶段一安全提议为加密算法3DES,认证算法为MD5;其他的保持默认,确定;这里就配置完毕; 最后一步:检查状态,网络>sangfor/ipsecvpn>vpn运行状态,查看是否正常,然后测试两边内网连通性,确认隧道状态为“已连接”,查看日志无异常提示;通过内网终端互相ping对端内网地址,确保通信正常;若不通,检查路由及安全策略配置。
到这里就配置完毕了,如果两端不通,vpn两边起不来,检查以下配置 1. 两边的认证密钥是否一致,身份ID是否一致,认证和加密算法是否一致,两端的感兴趣流是否一致; 2. 检查两边的路由是否有问题,策略是否放通,测试到对端的公网地址是否可达;查看华三调用在出接口的acl策略是否添加了本端到对端的拒绝的acl策略; 3. 华三端本地子网到目的子网的感兴趣流的源目的访问要配置不做地址转换,创建acl,配置源访问目的的子网做拒绝,最后一条放通,调用在出接口的nat上,可以参考华三配置的最后一步 4. 华三端注意做源nat的时候要做基于端口的nat,不要做策略nat;建议用命令行去配置此步骤,在外网接口下配置nat outbound ACLname,可以参考华三的最后一步 5. 如果还不通可以在我们深信服设备上抓包,可能是否有对端的ipsecvpn的报文过来;有数据还是不通,以上检查都没问题,就请外援吧,联系400解决; | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 
技术员1级 
