目前正在做的一个项目,客户两个机房,中间有一条专线,机房分隔两地
根据密评要求,数据传输,一律要进行加密,而且必须是国密证书进行加密
需求就是这么个需求,客户采了4台SSL设备,做集群部署,实现隧道通讯的同时,还要使用SSL功能
拓扑大概是这样一个架构
因为两边都是自家产品,可以用sangfor vpn 来对接,但是sangfor vpn没法使用国密证书来进行加密
后续使用标准 ipsec 来完成了对接
两边设备都是集群部署,采用网关模式,wan1 用来打通互联网,做SSL 功能,wan2 专线互联建立机房间互通隧道
具体配置如下:
部署一下集群配置
两边设备集群部署完成后,网络要打通一下,可以让两端的wan口集群地址互通,然后放行该放行的协议和端口
UDP 500 UDP 4500 还有 协议号50 的ESP协议
然后是隧道对接过程:
首先要用证书对接的话,需要先创建证书
选择新增
用国密标准,创建两个证书请求,一个加密一个签名
然后把证书请求下载下来,去CA进行证书的申请
申请回来以后呢,进行证书的导入
对端设备同理
小技巧:可以用同一套证书,重复导入
证书导入之后,就可以开始创建ipsec隧道了
再把第二阶段的 出入站配置一下
两边都配置好以后,隧道就可以建立啦
| 
发表于 2023-4-19 07:59
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术研究员2级 
