本帖最后由 无赖叫兽 于 2022-9-16 14:23 编辑
一、概况
某客户新建分支Y要与总部建立IPSEC对接,实现分支可以访问总部的一些业务。总部出口是深信服AF,版本为6.X,很老的一台防火墙,过段时间打算换;其另外一个分支是一所学校,暂名为技校A。技校A有一台出口防火墙是深信服7.X版本的AF,总部与技校A之间通过专线打通,专线均接在出口AF上。现在客户想用技校A的AF与分支Y的华为防火墙对接IPSEC,分支Y可以访问总部的业务。
二、基本网络拓扑 三、分支Y端华为防火墙基本配置
3.1 授权及基本情况
授权信息可以通过邮件发给license.huawei.com申请授权,或自行申请
当然也可以在线激活,防火墙本身能上网的话。
3.2 接口配置
3.3 路由配置
3.4 对象添加
自定义服务:
3.5 安全策略
访问控制:做IPSEC主要是放通UDP500和4500,untrust到local也需要放通。 安全防护策略:略。 注:local区域为华为或华三自带本地区域,为特殊区域,凡是由防火墙主动发出的报文均可认为是从local区域中发出,凡是需要防火墙响应并处理(而不是转发)的报文均可认为是由local区域接收。
3.6 源地址转换与目的地址转换
源地址主要用于内网上网,目的地址转换,因为是在出口部署的IPSEC,UDP500和4500不需要转换,其他端口映射有客户自行映射,规则如果是默认拒绝的话,需要先放通规则再映射。
四、IPSEC对接配置
技校A出口
在ETH2口勾选VPN,并且将需要对接IPSEC的外网IP放在首位。
此处也是出口,不需要映射UDP500与4500端口
基本配置: 预共享秘钥为123
IPSEC的三个阶段
第一阶段
技校A
添加内网接口
分支Y
第二阶段:配置感兴趣流
注:感兴趣流为总部内网地址段,对接IPSEC隧道为分支Y与技校A。感兴趣流需要一致,即技校A的入栈是分支Y的出栈,技校A的出栈是分支Y的入栈。
技校A端
分支Y端
注:华为端感兴趣流不能引用,ver1版本IPSEC是这样的,需要挨个填15对,另外优先级需要手动修改小于60。
第三阶段:匹配加密
技校A端
技校A的AF版本比较老,可以在安全选项里新增与对方华为一样的加密方式。 可以新增一个,如图:
并且在AF里放通应用控制策略。
分支Y端
检查两边加密提议一样。
隧道打通,如图:
五、业务互通
5.1 总部与分支Y主机互通
业务是在总部,跨了个网,感兴趣流配的也是总部的网段,现在只需保证这些网段的路由丢给专线就可以了,下一跳为对端即技校A的专线地址。在总部AF上起路由:
另外,在总AF做好应用控制策略,允许分支Y五个网段访问总部内网的三个网段。
两边测试可以互ping。
5.2 分支Y可以访问总部业务
虽然两边可以互ping了,但是分支Y访问不了总部业务,提示需要172.16.10.1验证。
考虑到10.1这个地址是总部专线的地址,于是将分支Y内网网段全部在总部AF里加白,之后访问业务正常了。
六、总结
华为防火墙与深信服防火墙对接IPSEC,采用的是第三方对接,两边提议、版本、预共享秘钥、算法等等都要一样,如果出现隧道建立失败的情况可以查看深信服这端的DLAN日志,慢慢调试,虽然原理简单,但是真正要实现业务互通还是有点难度的。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2022-9-19 15:35
发表于 2022-9-15 12:57
技术员3级 
