总部使用深信服AF或者SSL VPN设备有第三方对接授权,现在有一个分支使用H3CUSG防火墙需要与总部内网互通 大概就是这么一个拓扑 总部sangfor设备配置的第三方配 第一阶段 总部节点 野蛮模式、预共享秘钥认证,IKE 加密算法采用MD5、3DES、DH组2 IKE版本使用V1 身份ID采用:tyxz,开启DPD检测 ,其他默认配置 第二阶段 入站地址为分支内网172.16.0.1/24,出站为本地地址192.168.0.0/24 那么在这里根据需要配置H3C设备 1、H3C防火墙接口配置 2、安全域配置 3、华三防火墙还代理了内部上网在这采用了接口NAT 4、放行上网的安全策略 策略——安全策略——安全策略——新建 源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。测试内网已经可以访问外网了 5、配置IPsecVPN 新建IKE提议 本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。 以上内容主站、分支没有什么区别,在ID和IP地址根据实际配置选择即可 创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。
6、为建立IPsec需要放行防火墙安全策略 在H3C防火墙创建安全策略 策略——安全策略——安全策略——新建,创建一条ipsec放行 源区域:Untrust, Local,源地址:< 即两端公网出口地址> 目的区域:Untrust, Local,目的地址:<两端公网出口地址> 配置完成后在VPN——IPsec——监控 配置没有问题即可在这里看到建立成功的隧道 到这里,发现IPsec VPN的隧道连接已经建立成功,
在两端的安全策略中均 放行两地内网互访流量,但ping会发现 隧道中没有数据发出 分析一下什么原因? 其实是由于接口NAT转换的优先级高于IPsec匹配,那么 在这里配置acl规则将需要进隧道的数据进行过滤,不进行NAT地址转换即可 创建acl规则 对象——ACL——IPV4——新建 选择高级acl名称从3000开始 添加规则编号0:动作:拒绝, 进行匹配源IP地址/通配符:本地内网的网络号和通配符掩码172.16.0.0 0.0.0.255 匹配目的IP地址/通配符掩码:填对端地址段信息和通配符掩码192.168.0.0 0.0.0.255。 新建第二条规则:编号5,动作允许,其他留空。 这是完成效果 下一步把acl应用到接口NAT
华三的隧道统计也由匹配数了 两站互通完成。 |