使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

一、背景

1、需求

因为为了安全的考虑,之前我们的服务都是映射到远程的端口,这样安全隐患比较大,虽然一些端口是不常见的端口,但是离职的人员还是可以知道的,我们需要设置成只能在办公室内才可以连接我们内部的服务,比如很重要的好数据库。

2、设备详情

办公室路由器: H3C ER3108GW 千兆无线路由器。

IDC 防火墙:SecPath F100-S-G

3、网络拓扑

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

路由器的 LAN 口 IP 为 192.168.1.1,也就是我电脑的网关,我的电脑 IP 为 192.168.1.x。

防火墙的 WAN 口就是配置的公网IP(122.x.x.x),LAN 口为 10.0.2.1 ,所有内部服务器的网关。

4、建立方式

我们的建立方式为办公室的路由器端的IP不固定,IDC的防火墙IP是固定的,所以相当于办公室拨号IDC。

二、ER路由器配置

1、绑定 ipsec 虚接口

设备WEB界面,选择“VPN ---> IPSEC VPN ---> 虚接口”。单击<新增>按钮,在弹出的对话框中选择一个虚接口通道,比如 ipsec0,并将其与对应的出接口进行绑定(案例中为WAN),单击<增加>按钮完成操作。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

2、设置 IKE 安全提议

设备WEB界面选择“ VPN ---> IPSEC VPN ---> IKE安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,比如我们设置为 one,并设置IKE验证算法和IKE加密算法分别为MD5、3DES,IKE DH组选择“DH2 modp1024”(一般默认为此配置,客户可根据需求配置即可),单击<增加>按钮完成操作。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

3、配置 IKE 对等体

通过两端公网 IP 建立连接。

选择“VPN ---> IPSEC VPN ---> IKE对等体”。单击<新增>按钮,在弹出的对话框中输入对等体名称 one,选择对应的虚接口 ipsec0。在“对端地址”文本框中输入对端公网的IP地址122.x.x.x,协商模式勾选“野蛮模式”,ID类型勾选“IP类型”,并选择已创建的安全提议 one,配置预共享密钥为123456,其余参数保持默认即可,单击<增加>按钮完成操作。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

4、设置 IPSEC 安全提议

选择“VPN ---> IPSEC VPN ---> IPSec安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称 one,选择安全协议类型为 ESP,并设置验证算法和加密算法分别为MD5、3DES,单击<增加>按钮完成操作。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

5、配置 IPSEC 安全策略

通过两端的内网 IP 进行建立。

选择“VPN ---> IPSEC VPN ---> IPSec安全策略”。选中“启用IPSec功能”复选框,单击<应用>按钮生效。单击<新增>按钮,在弹出的对话框中输入安全策略名称,在“本地子网IP/掩码”和“对端子网/IP掩码”文本框中分别输入本端和对端子网信息,并选择协商类型为“IKE协商”、对等体为“one”、安全提议选择已经配置好的“one”,单击<增加>按钮完成操作。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

6、添加静态路由

为经过 IPSec VPN 隧道处理的报文设置路由,才能使隧道两端互通(一般情况下,只需要为隧道报文配置静态路由即可):选择“高级设置→路由设置→静态路由”,单击<新增>按钮,在弹出的对话框中输入对端局域网的子网信息,出接口选择 ipsec0,不用填写下一跳地址。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

三、防火墙的设定

1、配置 ACL

对于防火墙来说,本网络为10.0.2.0/24 ,对端网络为 192.168.1.0/24,定义要保护由子网10.0.2.0/24去往子网192.168.1.0/24的数据流。

在导航栏中选择“防火墙 --> ACL”,点击新建按钮,如下图所示,输入访问控制列表ID为“3000”,选择匹配规则为“用户配置”,点击确定。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

点击 ACL 3000 右侧的详细资料按钮,然后点击新建,勾选源IP和目的IP地址,输入对应的IP地址和通配符,点击确定。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

这个 ACL 3000 我们在后面会配置到 IPSec 上面,这样符合的数据量就会不走公网,直接通过 VPN 隧道,但是默认是会走公网的,所有我们要在 WAN 接口上面配置拒绝这部分数据流的ACL ,接下来我们配置拒绝的 ACL 3001。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

我们现在把 ACL 配置在 WAN 接口上面,让接口拒绝此规则的流量。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

2、配置域间策略

为了不影响 nat 端口映射,我们配置域间策略,前提可以是 nat 规则没有使用 ACL ,如果使用了其他的允许通过的 ACL 规则可以不用建立,按照下图建一条规则即可。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

3、IKE安全提议设置

ike提议参数,需要和路由器的ike提议参数一致,指定IKE提议使用的认证算法为md5,加密算法3des-cbc。

在导航栏中选择“VPN > IKE > 安全提议”点击新建按钮,配置完成后点确定。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

4、配置 IKE 对等体

选择野蛮模式,使用 IP 地址进行双方身份验证,因为类似于拨号,对端网关地址允许任何地址,我们选择0.0.0.0,反之,本端 IP 地址为防火墙 WAN 口配置的公网IP 。使用 123456 密码为域共享密码,和对方设备一致即可,启用 NAT 穿越。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

5、配置ipsec的安全提议

保持和 ER路由器配置的安全提议一致,配置安全协议对IP报文的封装形式为隧道模式,配置采用的安全协议为ESP,配置ESP协议采用的加密算法为3DES,认证算法为md5。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

6、配置ipsec 策略

名称为1 序列号为1,引用ike对等体 1,引用 ACL 3000,引用 ipsec安全提议1,这里引用 ACL 3000是为了让 WAN口拒绝的数据量走向这里。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

7、配置 ipsec 应用

在导航栏中选择“VPN > IPSEC > 应用” ,选择公网接口右侧的设置接口应用按钮,策略名称选择1,点击确定应用该策略。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

四、验证结构

现在我们使用办公室的一台 PC 电脑进行 ping 来触发IPSec的建立。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

我们可以看到已经可以 ping 通 IDC 内部的机器,证明我们已经建立好了,我们可以通过路由器和防火墙的安全联盟看到建立的状态。

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

使用 H3C 的办公室路由器和 IDC 的防火墙建立 IPSec VPN

注意事项

防火墙需要把接口加入安全域,在V5防火墙默认的域间规则情况下,还需要放通外网到内网的安全域。

两台VPN网关设备公网ip之间路由可达。

两台vpn网关设备使用的ike和ipsec的安全提议必须保持一致。

以上内容感谢 H3C 客服 cs3645 的耐心指导。

本文转自 wzlinux 51CTO博客,原文链接:

http://blog.51cto.com/wzlinux/2062105

,如需转载请自行联系原作者

上一篇:网御防火墙命令行管理操作
下一篇:UTM: 如何注册 SonicWALL 防火墙