第三方IPsec对接华三防火墙实现总部分支互访配置案例
总部使用深信服AF或者SSL VPN设备有第三方对接授权,现在有一个分支使用H3CUSG防火墙需要与总部内网互通
大概就是这么一个拓扑
总部sangfor设备配置的第三方配
第一阶段 总部节点 野蛮模式、预共享秘钥认证,IKE 加密算法采用MD5、3DES、DH组2
IKE版本使用V1
身份ID采用:tyxz,开启DPD检测 ,其他默认配置
第二阶段 入站地址为分支内网172.16.0.1/24,出站为本地地址192.168.0.0/24
那么在这里根据需要配置H3C设备
1、H3C防火墙接口配置
2、安全域配置
3、华三防火墙还代理了内部上网在这采用了接口NAT
4、放行上网的安全策略
策略——安全策略——安全策略——新建
源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。
测试内网已经可以访问外网了
5、配置IPsecVPN
网络——VPN——IPsec——策略——新建
新建IKE提议
本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。
以上内容主站、分支没有什么区别,在ID和IP地址根据实际配置选择即可
创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。
6、为建立IPsec需要放行防火墙安全策略
在H3C防火墙创建安全策略
策略——安全策略——安全策略——新建,创建一条ipsec放行
源区域:Untrust, Local,源地址:< 即两端公网出口地址>
目的区域:Untrust, Local,目的地址:<两端公网出口地址>
配置完成后在VPN——IPsec——监控
配置没有问题即可在这里看到建立成功的隧道
到这里,发现IPsec VPN的隧道连接已经建立成功,
在两端的安全策略中均
放行两地内网互访流量,但ping会发现 隧道中没有数据发出
在隧道——详情——隧道统计,也没有数据流量。
分析一下什么原因?
其实是由于接口NAT转换的优先级高于IPsec匹配,那么
在这里配置acl规则将需要进隧道的数据进行过滤,不进行NAT地址转换即可
创建acl规则
对象——ACL——IPV4——新建 选择高级acl名称从3000开始
添加规则编号0:动作:拒绝,
进行匹配源IP地址/通配符:本地内网的网络号和通配符掩码172.16.0.0 0.0.0.255
匹配目的IP地址/通配符掩码:填对端地址段信息和通配符掩码192.168.0.0 0.0.0.255。
新建第二条规则:编号5,动作允许,其他留空。
这是完成效果
下一步把acl应用到接口NAT
华三的隧道统计也由匹配数了
两站互通完成。