深信服FW對接華為云VPN配置指導

【背景】

本地數據中心的出口防火墻選用深信服設備，同時在DMZ區域旁路接入了一臺Ipsec?VPN，現需要通過VPN接入華為云。

通過VPN接入華為云網絡時，有兩種選擇：

1、使用本地數據中心防火墻設備直接和華為云端建立VPN連接；

2、使用本地數據中心DMZ區域的專用VPN結合NAT穿越技術與華為云端建立VPN連接；

本文檔內容介紹以上兩種VPN接入方式的配置指導。

【拓撲】

實驗目標：通過創建VPN連接方式來連通本地網絡到VPC子網。（10.0.0.0/16連通172.16.0.0/16）

相關信息說明如下：

1、本地數據中心：DMZ區VPN私網IP 10.10.10.10/24；

2、本地子網：本地子網為10.0.0.0/16；用戶需要訪問云上VPC

3、NAT配置信息：

ü??公網防火墻：11.11.11.1，

ü??NAT出口IP： 11.11.11.2/24，

ü??VPN設備的NAT映射公網 IP： 11.11.11.11

4、云端VPN網關：IP 22.22.22.22，

5、云端子網：172.16.0.0/16；

【操作步驟】

一、華為云端的VPN連接資源策略配置

在控制臺，按照如下圖信息配置

本實例以華為云端VPN配置信息為基礎，詳細介紹用戶側深信服設備的VPN配置。

二、深信服配置

1）IKE一階段配置

選擇【VPN】>>【IPsecVPN】>>【第三方對接】>>【第一階段】，確認線路出口（深信服設備會針對該接口自動下發VPN路由信息），選擇“新增”第一階段

在彈窗界面配置一階段基本信息和高級配置項，配置界面如下圖所示

注：使用DMZ區域專用的VPN進行NAT穿越連接時，協商模式修改為野蠻模式；使用防火墻進行連接協商模式選擇缺省主模式或野蠻模式。

深信服設備信息說明

基本信息

【設備名稱】自主命名一階段連接名稱，二階段會調用此設備名稱下的相關配置

【設備地址類型】選擇“對端是固定IP”

【固定IP】云端VPN網關IP，本實例IP為22.22.22.22

【認證方式】預共享密鑰，即PSK，與云端密鑰相同

勾選啟用設備，啟用主動連接為可選配置

高級配置

【ISAKMP存活時間】與云端相同86400s

【支持模式】深信服設備存在NAT穿越場景時推薦選擇“野蠻模式”

【D-H群】與云端一致，選擇“MODP1536群（5）”

【本端/遠端身份類型】IP地址，身份ID選擇網關IP，NAT場景選擇NAT后的IP

使用DMZ專用VPN選擇開啟NAT穿越，選擇防火墻不開啟NAT穿越

DPD為必選配置，加密和認證算法與云端一致，華為云DPD格式為seq-hash-notify

2）Ipsec二階段配置

選擇【VPN】>>【IPsecVPN】>>【第三方對接】>>【第二階段】，分別新增“入站策略”和“出站策略”，詳細配置見下圖所示

入站策略

n??【策略名稱】自主命名

n??【源IP類型】選擇“子網和掩碼”

n??【子網及掩碼】填寫流入本地的子網信息，多個子網逐條創建

n??【對端設備】調用IKE一階段配置的對端IP，此處選擇一階段【設備名稱】

n??入站服務選擇所有，生效時間選擇全天，并啟用該策略

出站策略

n??【策略名稱】自主命名策略

n??【源IP類型】選擇“子網和掩碼”

n??【子網及掩碼】填寫流出本地的子網信息，多個子網逐條創建

n??【對端設備】調用IKE一階段配置的對端IP，此處選擇一階段【設備名稱】

n??【SA生存時間】選擇和云端一致的3600s出站服務選擇所有，生效時間選擇全天，并啟用該策略

n??【密鑰完美向前保密】啟用，即開啟PFS，此時深信服設備的DH group會與IKE階段group相同

3）安全選項配置

選擇【VPN】>>【IPsecVPN】>>【第三方對接】>>【安全選項】，選擇“新增”按鈕，在彈出頁面配置自定義名稱，協議選擇與云端相同的“ESP”，認證和加密算法也與云端配置相同，詳細配置見下圖所示

三、配置路由

選擇【網絡】>>【路由】>>【靜態路由】后進行新增操作（不同類別設備的操作頁面存在差異）。

1.??使用DMZ區域專用網絡配置連接

1)???VPN使用原有缺省路由即可，對應VPN路由在IPsec配置時會自動生成；

2)???防火墻添加目標地址為云端子網，下一跳為設備建立VPN連接的私網IP；

2.??使用防火墻配置VPN連接（該場景下不涉及專用網絡配置）

1)???防火墻添加目標地址為云端子網，下一跳為出接口的公網IP

四、配置策略及NAT

選擇【網絡】>>【地址轉換】進行新增操作，配置NAT信息；選擇【訪問控制】>>【應用控制策略】進行新增操作，配置訪問策略。在本實例拓撲中，選擇防火墻或DMZ區域專用網絡，在策略及NAT配置同樣存在不同之處。

1.???使用DMZ區域專用配置連接，先配置網關地址兩個方向的NAT信息

1)???WAN→DMZ（所在區域）源地址ANY，目標地址11.11.11.11，源端口ANY,目標端口選擇ICMP、UDP500、UDP4500，轉換后IP10.10.10.10

2)???DMZ→WAN源地址10.10.10.10，目標地址22.22.22.22，源端口ANY,目標端口選擇ICMP、UDP500、UDP4500，轉換后IP 11.11.11.11

再配置云端子網和本地子網互訪的兩個方向放行策略

3)???WAN→LAN源地址為172.16.0.0/24，目標地址為10.0.0.0/16，服務為ANY，策略為放行（不配置該網段訪問的NAT）

4)???LAN→WAN源地址為10.0.0.0/24，目標地址為172.16.0.0/16，服務為ANY，策略為放行（不配置該網段訪問的NAT）

2.???使用防火墻配置VPN連接

不需要配置NAT信息，僅配置子網間的放行策略，還需添加VPN連接建立的放行策略

1)???WAN→DMZ（所在區域） 源地址為ANY，目標地址為11.11.11.2(防火墻出接口地址)，服務為ICMP、UDP500、UDP4500，策略為放行

2)???DMZ→WAN源地址為11.11.11.2，目標地址為ANY，服務為ICMP、UDP500、UDP4500，策略為放行

五、結果驗證

通過ping測試，本地子網與云上子網互訪正常

六、故障排除

在配置完成后，若發現VPN無法正常使用，可按照如下方式進行排查：

1、檢查VPN兩側協商信息

2、檢查防火墻ACL和云端安全組配置

3、檢查防火墻路由表

4、檢查防火墻域間策略

5、檢查防火墻NAT配置

詳細內容可參考官網鏈接：https://support.huaweicloud.com/trouble-vpn/vpn_06_0000.html

虛擬專用網絡 VPN

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。