第三方IPsec对接华三防火墙实现总部分支互访配置案例

发布时间:2024-11-07浏览量:0

1

总部使用深信服AF或者SSL VPN设备有第三方对接授权,现在有一个分支使用H3CUSG防火墙需要与总部内网互通

大概就是这么一个拓扑

总部sangfor设备配置的第三方配

第一阶段 总部节点 野蛮模式、预共享秘钥认证,IKE 加密算法采用MD5、3DES、DH组2  

IKE版本使用V1

身份ID采用:tyxz,开启DPD检测 ,其他默认配置

第二阶段 入站地址为分支内网172.16.0.1/24,出站为本地地址192.168.0.0/24

那么在这里根据需要配置H3C设备

1、H3C防火墙接口配置

2

2、安全域配置

3

3、华三防火墙还代理了内部上网在这采用了接口NAT

4

4、放行上网的安全策略

策略——安全策略——安全策略——新建

源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。

测试内网已经可以访问外网了

5

5、配置IPsecVPN

网络——VPN——IPsec——策略——新建

新建IKE提议

8

本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。

以上内容主站、分支没有什么区别,在ID和IP地址根据实际配置选择即可

创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。

9

10

6、为建立IPsec需要放行防火墙安全策略

在H3C防火墙创建安全策略

策略——安全策略——安全策略——新建,创建一条ipsec放行

源区域:Untrust, Local,源地址:< 即两端公网出口地址>

目的区域:Untrust, Local,目的地址:<两端公网出口地址>

配置完成后在VPN——IPsec——监控

配置没有问题即可在这里看到建立成功的隧道

到这里,发现IPsec VPN的隧道连接已经建立成功,

11

在两端的安全策略中均

放行两地内网互访流量,但ping会发现 隧道中没有数据发出

在隧道——详情——隧道统计,也没有数据流量。

12

分析一下什么原因?

其实是由于接口NAT转换的优先级高于IPsec匹配,那么

在这里配置acl规则将需要进隧道的数据进行过滤,不进行NAT地址转换即可

创建acl规则

对象——ACL——IPV4——新建 选择高级acl名称从3000开始

13

添加规则编号0:动作:拒绝,

进行匹配源IP地址/通配符:本地内网的网络号和通配符掩码172.16.0.0   0.0.0.255

匹配目的IP地址/通配符掩码:填对端地址段信息和通配符掩码192.168.0.0 0.0.0.255。

新建第二条规则:编号5,动作允许,其他留空。

这是完成效果

14

下一步把acl应用到接口NAT

15

华三的隧道统计也由匹配数了

18

两站互通完成。