使用H3C的辦公室路由器和IDC的防火牆建立IPSecVPN
一、背景
1、需求
因為為了安全的考慮,之前我們的服務都是對映到遠端的埠,這樣安全隱患比較大,雖然一些埠是不常見的埠,但是離職的人員還是可以知道的,我們需要設定成只能在辦公室內才可以連線我們內部的服務,比如很重要的好資料庫。
2、裝置詳情
辦公室路由器: H3C ER3108GW 千兆無線路由器。
IDC 防火牆:SecPath F100-S-G
3、網路拓撲
路由器的 LAN 口 IP 為 192.168.1.1,也就是我電腦的閘道器,我的電腦 IP 為 192.168.1.x。
防火牆的 WAN 口就是配置的公網IP(122.x.x.x),LAN 口為 10.0.2.1 ,所有內部伺服器的閘道器。
4、建立方式
我們的建立方式為辦公室的路由器端的IP不固定,IDC的防火牆IP是固定的,所以相當於辦公室撥號IDC。
二、ER路由器配置
1、繫結 ipsec 虛介面
裝置WEB介面,選擇“VPN —> IPSEC VPN —> 虛介面”。單擊<新增>按鈕,在彈出的對話方塊中選擇一個虛介面通道,比如 ipsec0,並將其與對應的出介面進行繫結(案例中為WAN),單擊<增加>按鈕完成操作。
2、設定 IKE 安全提議
裝置WEB介面選擇“ VPN —> IPSEC VPN —> IKE安全提議”。單擊<新增>按鈕,在彈出的對話方塊中輸入安全提議名稱,比如我們設定為 one,並設定IKE驗證演算法和IKE加密演算法分別為MD5、3DES,IKE DH組選擇“DH2 modp1024”(一般預設為此配置,客戶可根據需求配置即可),單擊<增加>按鈕完成操作。
3、配置 IKE 對等體
通過兩端公網 IP 建立連線。
選擇“VPN —> IPSEC VPN —> IKE對等體”。單擊<新增>按鈕,在彈出的對話方塊中輸入對等體名稱 one,選擇對應的虛介面 ipsec0。在“對端地址”文字框中輸入對端公網的IP地址122.x.x.x,協商模式勾選“野蠻模式”,ID型別勾選“IP型別”,並選擇已建立的安全提議 one,配置預共享金鑰為123456,其餘引數保持預設即可,單擊<增加>按鈕完成操作。
4、設定 IPSEC 安全提議
選擇“VPN —> IPSEC VPN —> IPSec安全提議”。單擊<新增>按鈕,在彈出的對話方塊中輸入安全提議名稱 one,選擇安全協議型別為 ESP,並設定驗證演算法和加密演算法分別為MD5、3DES,單擊<增加>按鈕完成操作。
5、配置 IPSEC 安全策略
通過兩端的內網 IP 進行建立。
選擇“VPN —> IPSEC VPN —> IPSec安全策略”。選中“啟用IPSec功能”核取方塊,單擊<應用>按鈕生效。單擊<新增>按鈕,在彈出的對話方塊中輸入安全策略名稱,在“本地子網IP/掩碼”和“對端子網/IP掩碼”文字框中分別輸入本端和對端子網資訊,並選擇協商型別為“IKE協商”、對等體為“one”、安全提議選擇已經配置好的“one”,單擊<增加>按鈕完成操作。
6、新增靜態路由
為經過 IPSec VPN 隧道處理的報文設定路由,才能使隧道兩端互通(一般情況下,只需要為隧道報文配置靜態路由即可):選擇“高階設定→路由設定→靜態路由”,單擊<新增>按鈕,在彈出的對話方塊中輸入對端區域網的子網資訊,出介面選擇 ipsec0,不用填寫下一跳地址。
三、防火牆的設定
1、配置 ACL
對於防火牆來說,本網路為10.0.2.0/24 ,對端網路為 192.168.1.0/24,定義要保護由子網10.0.2.0/24去往子網192.168.1.0/24的資料流。
在導航欄中選擇“防火牆 –> ACL”,點選新建按鈕,如下圖所示,輸入訪問控制列表ID為“3000”,選擇匹配規則為“使用者配置”,點選確定。
點選 ACL 3000 右側的詳細資料按鈕,然後點選新建,勾選源IP和目的IP地址,輸入對應的IP地址和萬用字元,點選確定。
這個 ACL 3000 我們在後面會配置到 IPSec 上面,這樣符合的資料量就會不走公網,直接通過 VPN 隧道,但是預設是會走公網的,所有我們要在 WAN 介面上面配置拒絕這部分資料流的ACL ,接下來我們配置拒絕的 ACL 3001。
我們現在把 ACL 配置在 WAN 介面上面,讓介面拒絕此規則的流量。
2、配置域間策略
為了不影響 nat 埠對映,我們配置域間策略,前提可以是 nat 規則沒有使用 ACL ,如果使用了其他的允許通過的 ACL 規則可以不用建立,按照下圖建一條規則即可。
3、IKE安全提議設定
ike提議引數,需要和路由器的ike提議引數一致,指定IKE提議使用的認證演算法為md5,加密演算法3des-cbc。
在導航欄中選擇“VPN > IKE > 安全提議”點選新建按鈕,配置完成後點確定。
4、配置 IKE 對等體
選擇野蠻模式,使用 IP 地址進行雙方身份驗證,因為類似於撥號,對端閘道器地址允許任何地址,我們選擇0.0.0.0,反之,本端 IP 地址為防火牆 WAN 口配置的公網IP 。使用 123456 密碼為域共享密碼,和對方裝置一致即可,啟用 NAT 穿越。
5、配置ipsec的安全提議
保持和 ER路由器配置的安全提議一致,配置安全協議對IP報文的封裝形式為隧道模式,配置採用的安全協議為ESP,配置ESP協議採用的加密演算法為3DES,認證演算法為md5。
6、配置ipsec 策略
名稱為1 序列號為1,引用ike對等體 1,引用 ACL 3000,引用 ipsec安全提議1,這裡引用 ACL 3000是為了讓 WAN口拒絕的資料量走向這裡。
7、配置 ipsec 應用
在導航欄中選擇“VPN > IPSEC > 應用” ,選擇公網介面右側的設定介面應用按鈕,策略名稱選擇1,點選確定應用該策略。
四、驗證結構
現在我們使用辦公室的一臺 PC 電腦進行 ping 來觸發IPSec的建立。
我們可以看到已經可以 ping 通 IDC 內部的機器,證明我們已經建立好了,我們可以通過路由器和防火牆的安全聯盟看到建立的狀態。
注意事項
防火牆需要把介面加入安全域,在V5防火牆預設的域間規則情況下,還需要放通外網到內網的安全域。
兩臺VPN閘道器裝置公網ip之間路由可達。
兩臺vpn閘道器裝置使用的ike和ipsec的安全提議必須保持一致。
以上內容感謝 H3C 客服 cs3645 的耐心指導。
本文轉自 wzlinux 51CTO部落格,原文連結:
http://blog.51cto.com/wzlinux/2062105
,如需轉載請自行聯絡原作者
相關文章
- H3C防火牆-安全域防火牆
- 淺析防火牆與路由器的安全配置防火牆路由器
- 使用IP鏈建立Linux防火牆(轉)Linux防火牆
- Ceph 和防火牆的故事防火牆
- ddos防火牆的作用和部署防火牆
- H3C F100-C-G2防火牆防火牆
- gng3使用方法,正確的路由器防火牆安全配置方式路由器防火牆
- Ubuntu系統中防火牆的使用和開放埠Ubuntu防火牆
- AutoRun病毒防火牆如何使用 AutoRun病毒防火牆教程防火牆
- ubuntu系統下的防火牆使用Ubuntu防火牆
- 防火牆入侵於檢測——————3、思科 PIX 防火牆和 ASA 防火牆產品線防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 網閘原理和防火牆的區別防火牆
- 使用IPtables搭建防火牆的規則(轉)防火牆
- 防火牆的分類防火牆
- Linux 防火牆配置使用Linux防火牆
- 建立防火牆的主動性網路安全體系(轉)防火牆
- centos6和7的防火牆開關CentOS防火牆
- Linux防火牆的關閉和開啟Linux防火牆
- 2M數位電路實現防火牆和路由器互連防火牆路由器
- WAb防火牆與傳統防火牆防火牆
- 防火牆防火牆
- centos7的防火牆CentOS防火牆
- 關閉centos的防火牆CentOS防火牆
- linux下的防火牆Linux防火牆
- 建立防火牆的主動性網路安全防護模型(轉)防火牆模型
- 什麼是防火牆?防火牆能發揮什麼樣的作用?防火牆
- CentOS 中 iptables 和 firewall 防火牆的相關命令CentOS防火牆
- Redhat關閉SELinux和防火牆的辦法RedhatLinux防火牆
- Linux防火牆的關閉、開啟和配置Linux防火牆
- Iptables防火牆規則使用梳理防火牆
- 使用防火牆讓你的 Linux 更加強大防火牆Linux
- 使用隨身碟的小型ADSL防火牆(轉)防火牆
- 怎麼重置win10防火牆_win10防火牆重置的方法Win10防火牆
- Mac有防火牆嗎?關於Mac防火牆常見的問題解答Mac防火牆
- 防火牆在RAC上的配置防火牆
- 防火牆的虛擬系統防火牆
- OpenStack 的防火牆規則流程防火牆