若本地数据中心使用的是华三防火墙,在配置好云上VPN网关、用户网关、IPsec连接等操作后,还要在华三防火墙上进行VPN连接的配置。
注意
不同型号、不同版本的华三防火墙的操作配置、界面显示等可能存在差别。您可根据实际使用的防火墙型号,查看配套说明或咨询第三方防火墙厂商具体的操作配置。
已完成创建VPN网关、创建用户网关、创建IPsec连接和添加VPN网关路由的操作。
云上VPC
VPN网关的公网IP是指创建VPN网关时,系统自动分配的公网IP,作为VPN网关的网关出口IP,与单独购买的公网IP实例不同,是不可单独持有的资源,生命周期与VPN网关保持一致。
预共享密钥:test@1234
IKE配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes192 |
| DH算法 | group14 |
| 协商模式 | main |
| 版本 | ikev1 |
| 生命周期 | 86400 |
IPsec配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes192 |
| DH算法 | group14 |
| 生命周期 | 86400 |
| 安全协议 | esp |
本地数据中心:私网网段为10.1.1.0/24,网关设备的静态公网IP为122.XX.XX.64,网关设备连接公网的接口为Reth1。
本文仅介绍必要的参数配置,其他参数您可根据实际情况,选择性的配置。
在本地登录华三防火墙的Web操作页面。
新建IPsec策略。
| 参数 | 说明 | 取值 |
|---|---|---|
| 基本配置 | ||
| 接口 | 网关设备连接公网的接口。 | Reth1 |
| IP地址类型 | IP地址的类型。 | IPv4 |
| 模式 | 选择“对等/分支节点”。 | 对等/分支节点 |
| 对端IP地址/主机名 | 云上VPN网关的公网IP地址。 | 22.XX.XX.10 |
| 协商模式 | IKE认证阶段的协商模式。主模式:对应云上的“main”;野蛮模式:对应云上的“aggressive”。 | 主模式 |
| 认证方式 | 选择“预共享密钥”。 | 预共享密钥 |
| 预共享密钥 | IPsec连接时设置的预共享密钥。 | test@1234 |
| 再次输入预共享密钥 | 确认预共享密钥。 | test@1234 |
| 对端ID | 云上VPN网关的公网IP地址。 | 22.XX.XX.10 |
| 本端ID | 本地VPN网关的公网IP地址。 | 122.XX.XX.64 |
| 保护的数据流 | ||
| 源IP地址 | 本地IDC的私网网段。 | 10.1.1.0/24 |
| 目的IP地址 | 云上待通信VPC的网段。 | 192.168.2.0/24 |
在左侧导航树,单击“网络 > VPN > IPsec > IKE提议 ”,然后单击“新建”,添加IKE配置,完成后单击“确定”。
此处的IKE配置需要与云上IPsec连接中的IKE配置保持一致。
| 参数 | 取值 |
|---|---|
| 优先级 | 10 |
| 认证方式 | 预共享密钥 |
| 认证算法 | SHA256 |
| 加密算法 | AES-CBC-192 |
| DH | DH group 14 |
| IKE SA 生存周期 | 86400 |
在左侧导航树,单击“网络 > VPN > IPsec > 策略 ”,找到步骤2新建的策略,在“高级配置”下添加IPsec配置,配置完成后单击“确定”。
此处的IPsec配置需要与云上IPsec连接中的IPsec配置保持一致。
| 参数 | 取值 |
|---|---|
| 封装模式 | 隧道模式 |
| 安全协议 | ESP |
| ESP认证算法 | SHA256 |
| ESP加密算法 | AES-CBC-192 |
| PFS | Group_14 |
| IPsec SA生存时间(基于时间) | 86400 |
| 本端IP地址 | 122.XX.XX.64 |
在左侧导航树,单击“网络 > VPN > IPsec > 策略 > 安全策略 > 新建”,分别创建上、下行安全策略。
上行安全策略
从本地IDC到云上VPC方向的安全策略。
| 参数 | 说明 | 取值 |
|---|---|---|
| 名称 | 输入此条上行安全策略的名称。 | h3c_to_vpc |
| 源安全域 | 选择源安全域。 | Trust |
| 目的安全域 | 选择目的安全域。 | Untrust |
| 类型 | 选择IP的类型。 | IPv4 |
| 动作 | 设置此条安全策略的执行动作,允许或拒绝访问。 | 允许 |
| 源IP地址 | 本地IDC的私网网段。 | 10.1.1.0/24 |
| 目的IP地址 | 云上VPC的网段。 | 192.168.2.0/24 |
下行安全策略
从云上VPC到本地IDC方向的安全策略。
| 参数 | 说明 | 取值 |
|---|---|---|
| 名称 | 输入此条下行安全策略的名称。 | vpc_to_h3c |
| 源安全域 | 选择源安全域。 | Untrust |
| 目的安全域 | 选择目的安全域。 | Trust |
| 类型 | 选择IP的类型。 | IPv4 |
| 动作 | 设置此条安全策略的执行动作,允许或拒绝访问。 | 允许 |
| 源IP地址 | 云上VPC的网段。 | 192.168.2.0/24 |
| 目的IP地址 | 本地IDC的私网网段。 | 10.1.1.0/24 |
在左侧导航树,单击“网络 > 路由 > 静态路由”,进入“新建IPv4静态路由”页面,添加本地IDC到云上VPC方向的静态路由,完成后单击“确定”。
| 参数 | 说明 | 取值 |
|---|---|---|
| VRF | 选择VRF的类型。 | 公网 |
| 目的IP地址 | 输入目的IP地址。 | 0.0.0.0 |
| 掩码长度 | 输入掩码长度。 | 0 |
| 下一跳 | ||
| 下一跳所属的VRF | 勾选“下一跳所属的VRF”,并选择为“公网”。 | 勾选,公网 |
| 下一跳IP地址 | 输入下一跳的IP地址。 | 22.XX.XX.10 |