深信服廣域網優化WOC產品可以部署在數據中心和分支機構的廣域網出口,通過流削減、流壓縮、流緩存和協議加速等技術,削減70%的冗餘流量,將丟包率降低至1%,節省50%的鏈路費用,3-10倍提升應用速度,最終實現應用性能或廣域網速度的提升。
小編下面就用實例來給大家演示深信服WOC設備怎麼通過標準的IPSEC VPN來對接H3C的防火牆,首先我們來看一下網絡拓撲圖
一、基礎場景設備介紹:
總部是一臺SANGFOR WOC設備,單臂部署,分支是一臺華三的防火牆,網關模式部署,總部和分支建立標準的IPSEC VPN
注意事項,首先要檢查WOC是否有第三方授權,在控制檯->維護->序列號中查看
單臂部署需要在出口設備做好UDP500、4500端口映射
二、華三(H3C)防火牆配置步驟
1、配置安全選項
# 創建 IPsec 安全提議為transform-gxdx
[GLDX_Master_FW]ipsec transform-set transform-gxdx
# 配置採用的安全協議為 ESP。
[GLDX_Master_FW-ipsec-transform-set-transform-gxdx]protocol esp
# 配置 ESP 協議採用的加密算法為 3DES,認證算法為 HMAC-MD5。
[DeviceA-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc
[DeviceA-ipsec-transform-set-transform1] esp authentication-algorithm md5
2、配置IKE SA參數
#創建IKE proposal 為1
[GLDX_Master_FW]ike proposal 1
# 配置D-H群為group2
[GLDX_Master_FW-ike-proposal-1]dh group2
# 配置 ISAKMP加密算法為 3DES, ISAKMP認證算法為 HMAC-MD5。
[GLDX_Master_FW-ike-proposal-1]encryption-algorithm 3des-cbc
[GLDX_Master_FW-ike-proposal-1]authentication-algorithm md5
#配置ISAKMP存活時間
[GLDX_Master_FW-ike-proposal-1]sa duration 3600
3、配置共享密鑰
# 創建 IKE keychain,名稱為 keychain-gxdx
[GLDX_Master_FW]ike keychain keychain-gxdx
# 配置對端主機名為 gxdx 對端使用的預共享密鑰為明文 密鑰:sangfor
[GLDX_Master_FW-ike-keychain-keychain-gxdx]pre-shared-key hostname gxdx key simple sangfor
4、配置協商模式、身份ID類型和身份ID
#創建 IKE profile,名稱為 profile-gxdx
[GLDX_Master_FW]ike profile profile-gxdx
# 指定引用的 IKE keychain 為 keychain-gxdx
[GLDX_Master_FW-ike-profile-profile-gxdx]keychain keychain-gxdx
#啟用DPD 配置檢測間隔為5秒
[GLDX_Master_FW-ike-profile-profile-gxdx]dpd interval 5 on-demand
# 配置協商模式為野蠻模式
[GLDX_Master_FW-ike-profile-profile-gxdx]exchange-mode aggressive
# 配置本端身份為 user-fqdn 名稱 gldx
[GLDX_Master_FW-ike-profile-profile-gxdx]local-identity user-fqdn gldx
# 配置對端身份為 user-fqdn 名稱 gxdx
[GLDX_Master_FW-ike-profile-profile-gxdx]match remote identity user-fqdn gxdx
#指定引用用IKE SA參數 為proposal 1
[GLDX_Master_FW-ike-profile-profile-gxdx]proposal 1
5、配置出入站策略
#創建acl advanced 3600
[GLDX_Master_FW]acl advanced 3600
#配置允許源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的數據流
[GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source 10.88.0.0 0.0.255.255 destination
10.145.1.0 0.0.0.255
#配置允許源IP 10.145.1.0/24 去往目的IP10.88.0.0/16的數據流
[GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source 10.145.1.0 0.0.0.255 destination
10.88.0.0 0.0.255.255
6、配置IPsec vpn策略以及引用相關配置
# 創建一條 IKE 協商方式的 IPsec 安全策略,名稱為 policy-gxdx,順序號為 1
[GLDX_Master_FW]ipsec policy policy-gxdx 1 isakmp
#指定應用IPsec 安全提議為transform-gxdx
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]transform-set transform-gxdx
#指定應用出入站策略規則為acl 3600
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]security acl 3600
#配置 IPsec 隧道的本端 IP 地址為 116.1.3.91
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]local-address 116.1.3.91
#配置 IPsec 隧道的對端 IP 地址為 58.59.136.46
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]remote-address 58.59.136.46
#配置第二階段出站的SA保活時間為3600
[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]sa duration time-based 3600
7、在設備的互聯網互聯接口引用ipsec vpn策略
#進入互聯網互聯接口
[GLDX_Master_FW]interface GigabitEthernet 1/0/1
#配置互聯網互聯接口引用ipsec vpn策略
[GLDX_Master_FW-GigabitEthernet1/0/1]ipsec apply policy policy-gxdx
8、添加去往總部的VPN路由
目的地址寫總部的服務器網段,下一跳交給總部的公網IP
[GLDX_Master_FW] ip route-static 10.145.1.0 255.255.255.0 58.59.136.46
9、配置分支去往總部的數據不被NAT
#進入NAT的配置規則
[GLDX_Master_FW]acl advanced 3000
#配置拒絕源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的數據流(ACL規則是從上往下匹配的,需要把deny的放在permit的上面)
[GLDX_Master_FW-acl-ipv4-adv-3000]rule deny ip source 10.88.0.0 0.0.255.255 destination
10.145.0.0 0.0.0.255
注意事項,華三防火牆的NAT優先級比ipsec vpn的優先高,需要到NAT配置deny 把源內網IP去往總部IP的數據包拒絕NAT,這樣數據包就不會被NAT了
三、總部WOC配置
1、配置IPsec VPN第一階段
使用野蠻模式,遠程ip是對端的公網IP,IKE SA參數需要配置兩端一致,啟用DPD需要兩端啟用,有NAT環境需要啟用NAT-T(NAT穿透),NAT-T對端無需配置會自動協商啟用
2、配置IPsec VPN 第二階段入站策略
服務和時間自定義,如果沒有要求選擇所有服務和全部生效,遠程IP中填寫分支的內網網段和掩碼,選擇對應的對端設備,啟用該策略即可
3、配置IPsec VPN第二階段出站策略
服務和時間自定義,如果沒有要求選擇所有服務和全部生效,本地IP中填寫本地服務器的網段和掩碼,選擇對應的對端設備,SA保活時間 3600秒,啟用該策略,需要把密鑰完美向前保密的勾去掉,不啟用這個功能
4、查看IPsec VPN狀態
可以通過日誌和VPN狀態查看VPN隧道是否建立成功
注意事項:如果兩端內網都有多個IP段需要訪問,建議先使用一個網段把VPN隧道建立正常後再添加其他子網
歡迎關注我們今日頭條號、微信公眾號、新浪微博,企鵝號,QQ公眾號、UC訂閱號、一點資訊、百度百家號只要在相應APP裡搜索"弱電智能網",就可以關注我們。還可以訪問我們官網www.ruodian360.com
閱讀更多 弱電智能網 的文章