×

第三方IPsec对接H3C防火墙实现总部分支互访配置
  

新手182831 939

{{ttag.title}}

总部使用深信服AF或者SSL VPN设备有第三方对接授权,现在有一个分支使用H3CUSG防火墙需要与总部内网互通
大概就是这么一个拓扑
总部sangfor设备配置的第三方配
第一阶段 总部节点 野蛮模式、预共享秘钥认证,IKE 加密算法采用MD5、3DES、DH组2  
IKE版本使用V1
身份ID采用:tyxz,开启DPD检测 ,其他默认配置
第二阶段 入站地址为分支内网172.16.0.1/24,出站为本地地址192.168.0.0/24
那么在这里根据需要配置H3C设备
1、H3C防火墙接口配置
2、安全域配置
3、华三防火墙还代理了内部上网在这采用了接口NAT
4、放行上网的安全策略
策略——安全策略——安全策略——新建
源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。
测试内网已经可以访问外网了
5、配置IPsecVPN
网络——VPN——IPsec——策略——新建
新建IKE提议
本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。
以上内容主站、分支没有什么区别,在ID和IP地址根据实际配置选择即可
创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。
6、为建立IPsec需要放行防火墙安全策略
在H3C防火墙创建安全策略
策略——安全策略——安全策略——新建,创建一条ipsec放行
源区域:Untrust, Local,源地址:< 即两端公网出口地址>
目的区域:Untrust, Local,目的地址:<两端公网出口地址>
配置完成后在VPN——IPsec——监控
配置没有问题即可在这里看到建立成功的隧道
到这里,发现IPsec VPN的隧道连接已经建立成功,
在两端的安全策略中均
放行两地内网互访流量,但ping会发现 隧道中没有数据发出
在隧道——详情——隧道统计,也没有数据流量。
分析一下什么原因?
其实是由于接口NAT转换的优先级高于IPsec匹配,那么
在这里配置acl规则将需要进隧道的数据进行过滤,不进行NAT地址转换即可
创建acl规则
对象——ACL——IPV4——新建 选择高级acl名称从3000开始
添加规则编号0:动作:拒绝,
进行匹配源IP地址/通配符:本地内网的网络号和通配符掩码172.16.0.0   0.0.0.255
匹配目的IP地址/通配符掩码:填对端地址段信息和通配符掩码192.168.0.0 0.0.0.255。
新建第二条规则:编号5,动作允许,其他留空。
这是完成效果
下一步把acl应用到接口NAT

华三的隧道统计也由匹配数了
两站互通完成。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
干货满满
社区新周刊
每日一问
新版本体验
技术盲盒
技术咨询
产品连连看
纪元平台
标准化排查
GIF动图学习
功能体验
社区帮助指南
信服课堂视频
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人