深信服与华为USG防火墙做第三方IPsec对接
  

kmyd 9165

一、环境介绍
总部是深信服的VPN,分支用的华为USG的防火墙,现在业务需要,二边做IPSEC VPN,实现内网数据互通。
二、拓朴
160320rlnqyn2gml5j6jj5.png
三、客户需求
1、数据在网络上传输要求加密,保证数据安全
2、总部、分支内网数据实现互通

四、配置步骤
1、华为USG防火墙命配置
命令行的配置
1)、//IPsec感兴趣数据流配置
acl number 3000     
rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

2)、//第一阶段参数配置和AF的参数方式一致
ike proposal 1   
encryption-algorithm 3des     //配置IKE安全提议中使用的加密算法为3des
dh group2                              //DH群组2
sa duration 3600                  //SA超时时间为3600
#
ike peer ike261115182368
exchange-mode auto                //协商模式为自动
pre-shared-key %$%$>MUmGhf(*.kFC~26z~uX)MD;%$%$    //预共享密钥,和AF一致
ike-proposal 1                           //引用已配置的IKE安全提议
undo version 2                          //去使能IKE版本2,也就是用IKE版本1
remote-id-type none                    //不校验对端ID类型
remote-address 200.200.200.2    //对端地址
undo nat traversal                     //去使能NAT穿越

3)、//第二阶段参数配置和AF的参数方式一致
ipsec proposal prop26111518236
encapsulation-mode auto              //配置报文的封装模式为自动
esp authentication-algorithm sha1    //ESP认证算法为sha1
esp encryption-algorithm 3des       //ESP加密算法为3des
#
ipsec policy ipsec2611151823 1 isakmp
security acl 3000                  //配置安全策略引用的ACL为3000
pfs dh-group2                     //配置安全策略进行协商时使用PFS特性
ike-peer ike261115182368          //在安全策略中引用IKE对等体
alias IPSEC
proposal prop26111518236         //安全策略中引用的IPSec安全提议
sa duration traffic-based 1843200    //SA基于流量超时为1843200
sa duration time-based 3600         //SA基于时间超时为3600

4)、//IPSEC应用在外网接口
interface Ethernet0/0/0
ip address 100.100.100.2 255.255.255.0
ipsec policy ipsec2611151823 auto-neg

5)、//IPSEC的流量不做NAT转换, policy 0是不做NAT转换的策略, policy 1是内网地址转换的策略。
nat-policy interzone trust untrust outbound
policy 0
  action no-nat
  policy source 192.168.0.0 mask 24
  policy destination 192.168.10.0 mask 24

policy 1
  action source-nat
  policy source 192.168.0.0 mask 24
  easy-ip Ethernet0/0/0

WEB配置截图
1)、配置第一阶段,身份认证,参数配置,二边设备要一致。
2)、配置第二阶段,加密算法二边要一致。
3)、VPN的隧道的网段不做NAT转换。


2、深信服配置:
1)、配置第一阶段
2)、配置第二阶段
入站策略
出站策略,完美密钥向前保密对应华为防火墙的PFS。
安全选项:

3、测试结果
1)、华为防火墙IPSEC连接成功的状态

2)、深信服 VPN连接成功的状态

喜欢这篇文章吗?喜欢就给楼主打赏吧!

打赏
3人已打赏

Sangfor_闪电回_朱丽 发表于 2017-12-6 14:55
  
非常棒,步骤清楚,配置都有截图,对小伙伴们很有帮助~~~点赞,打赏!
新手524508 发表于 2018-1-22 11:30
  
DPD的检测应该怎么设置?我这边设置后偶尔会报出DPD超时
新手769611 发表于 2018-6-16 12:37
  
看不到,图例啊
zhenwandi 发表于 2018-6-20 17:59
  
能看到图吗
新手349645 发表于 2018-7-9 10:25
  
怎么显示图,晕
记小忆 发表于 2018-9-18 09:57
  
七月懒猫 发表于 2018-11-22 15:35
  
看不见图,一直转圈圈
七月懒猫 发表于 2018-11-22 16:00
  
帮你们把图片挖出来了
--------------------------------------------------
WEB配置截图
1)配置第一阶段,身份认证,参数配置,二边设备要一致

2)、配置第二阶段,加密算法二边要一致

3)、VPN的隧道的网段不做NAT转换。


2、深信服配置:
1)、配置第一阶段

入站策略

出站策略,完美密钥向前保密对应华为防火墙的PFS。

安全选项:

华为防火墙IPSEC连接成功的状态

深信服连接成功状态


1)配置第一阶段,身份认证,参数配置,二边设备要一致
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/163140bvgsrkv1yo1f46lo.png
2)、配置第二阶段,加密算法二边要一致
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/163145cnpwcgwxngy3xfsy.png
3)、VPN的隧道的网段不做NAT转换。
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/163149zecmc5g0zxf10zc3.png

2、深信服配置:
1)、配置第一阶段
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/163639ctqrhtdy9ofo1ddh.png
入站策略
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/163725s7jjv56sjvjf6hjh.png
出站策略,完美密钥向前保密对应华为防火墙的PFS。
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/163743ca6skjaap2agepka.png
安全选项:
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/163926l0hh1syh61p9ggud.png
华为防火墙IPSEC连接成功的状态
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/164100jsr33i1iy3d8i7ff.png
深信服连接成功状态
https://bbs.sangfor.com.cn/data/attachment/forum/201511/26/164151x20lbpse0t96d8dp.png
qiumingjun 发表于 2019-1-30 13:05
  
不错的教程,改天试一下!
×
有话想说?点这里!
可评论、可发帖
发表新帖

本版达人

adds

本周建议达人

无极剑圣

本周分享达人

新手25642...

本周提问达人