文档

华为防火墙配置

更新时间:

使用IPsec-VPN建立站点到站点的连接时,在阿里云侧完成VPN网关的配置后,您还需在本地站点的网关设备中添加VPN配置。本文以华为防火墙为例介绍如何在本地站点的网关设备中添加VPN配置。

场景示例

华为防火墙配置场景示例本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),VPC网段为172.16.0.0/16,VPC中使用云服务器ECS(Elastic Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为10.11.0.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通。

本文涉及的网络配置详情请参见下表。

配置项

示例值

VPC

待和本地IDC互通的私网网段

172.16.0.0/16

VPN网关

VPN网关公网IP地址

60.XX.XX.111

本地IDC

待和VPC互通的私网网段

10.11.0.0/24

本地网关设备的公网IP地址

1.XX.XX.82

本地网关设备连接公网的接口

WAN0/0/1

本地网关设备连接本地IDC的接口

GE0/0/1

说明
  • 以下内容分别展示本地网关设备(华为防火墙)使用IKEv1版本和IKEv2版本时如何添加VPN配置。您可以根据华为防火墙支持的IKE版本情况选择适合的配置。

    关于如何选择IKE版本,请参见配置IPsec-VPN连接时,如何选择IKE版本?

  • 如果本地IDC侧有多个网段要与VPC互通,推荐使用IKEv2版本,且建议您在阿里云侧创建多个IPsec连接,并添加VPN网关路由。更多信息,请参见多网段配置方案推荐

配置IKEv1 VPN

前提条件

  • 您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(单隧道模式)

  • 您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置

    本文IPsec连接的配置如下表所示。

    配置项

    示例值

    预共享密钥

    ff123TT****

    IKE配置

    IKE版本

    ikev1

    协商模式

    main

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    IPsec配置

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    DPD功能

    开启DPD功能

开始配置

说明

以下内容仅供参考,实际操作请以对应厂商的设备操作指南为准。

  1. 登录华为防火墙Web管理页面。

  2. 在顶部菜单栏选择网络页签。

  3. 在左侧导航栏,选择接口 > 接口列表

    将连接公网的接口WAN0/0/1加入untrust安全区域,并配置公网IP地址;将连接本地IDC的接口GE0/0/1加入trust安全区域,并置私网IP地址。

  4. 在顶部菜单栏选择策略页签。在左侧导航栏,选择安全策略 > 新建,创建安全策略。

  5. 在顶部菜单栏选择网络页签。在左侧导航栏,选择IPsec > IPsec 策略列表 > 新建,然后参见下图添加相应配置。

    华为防火墙-图1
    • 本端接口:选择本地网关设备连接公网的接口。本文选择WAN0/0/1。

    • 本端地址:输入本地网关设备的公网IP地址。本文输入1.XX.XX.82

    • 对端地址:输入阿里云侧VPN网关的公网IP地址。本文输入60.XX.XX.111

    • 认证方式:选择预共享密钥方式。

    • 预共享密钥:此处的预共享密钥需和阿里云侧的预共享密钥一致,本文中输入ff123TT****

  6. 在当前页面的待加密的数据流区域,地址类型选择IPv4,然后单击新建

    根据以下信息,添加待加密数据流:华为防火墙-待加密数据流

    • 源地址/地址组:输入本地IDC中待和VPC互通的网段。本文输入10.11.0.0/24

    • 目的地址/地址组:输入VPC中待和本地IDC互通的网段。本文输入172.16.0.0/16

  7. 在当前页面的安全提议区域,单击高级

    根据已在阿里云侧下载的IPsec连接配置,为本地网关设备添加VPN配置。本地IDC侧的配置需和VPN网关侧的配置保持一致。华为防火墙-IPsec参数配置

    重要

    阿里云VPN网关仅支持配置基于时间的SA生存周期,不支持配置基于流量的SA生存周期(VPN网关侧基于流量的SA生存周期固定为0字节),因此在您使用华为防火墙时,请将基于流量的SA超时时间配置为0字节。

  8. 在左侧导航栏,选择路由 > 静态路由 > 静态路由列表 > 新建,为本地网关设备配置静态路由。

    添加默认路由时,下一跳为本地网关设备的公网IP地址;添加指向VPC的路由时,下一跳为VPN网关的公网IP地址。

配置IKEv2 VPN

前提条件

说明

以下内容仅供参考,实际操作请以对应厂商的设备操作指南为准。

  • 您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(单隧道模式)

  • 您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置

    本文IPsec连接的配置如下表所示。

    配置项

    示例值

    预共享密钥

    ff123TT****

    IKE配置

    IKE版本

    ikev2

    协商模式

    main

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    IPsec配置

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    DPD功能

    开启DPD功能

开始配置

  1. 登录华为防火墙Web管理页面。

  2. 在顶部菜单栏选择网络页签。

  3. 在左侧导航栏,选择接口 > 接口列表

    将连接公网的接口WAN0/0/1加入untrust安全区域,并配置公网IP地址;将连接本地IDC的接口GE0/0/1加入trust安全区域,并置私网IP地址。

  4. 在顶部菜单栏选择策略页签。在左侧导航栏,选择安全策略 > 新建,创建安全策略。

  5. 在顶部菜单栏选择网络页签。在左侧导航栏,选择IPsec > IPsec 策略列表 > 新建,然后参见下图添加相应配置。

    华为防火墙-图1
    • 本端接口:选择本地网关设备连接公网的接口。本文选择WAN0/0/1。

    • 本端地址:输入本地网关设备的公网IP地址。本文输入1.XX.XX.82

    • 对端地址:输入阿里云侧VPN网关的公网IP地址。本文输入60.XX.XX.111

    • 认证方式:选择预共享密钥方式。

    • 预共享密钥:此处的预共享密钥需和阿里云侧的预共享密钥一致,本文中输入ff123TT****

  6. 在当前页面的待加密的数据流区域,地址类型选择IPv4,然后单击新建

    根据以下信息,添加待加密数据流:华为防火墙-待加密数据流

    • 源地址/地址组:输入本地IDC中待和VPC互通的网段。本文输入10.11.0.0/24

    • 目的地址/地址组:输入VPC中待和本地IDC互通的网段。本文输入172.16.0.0/16

  7. 在当前页面的安全提议区域,单击高级

    根据已在阿里云侧下载的IPsec连接配置,为本地网关设备添加VPN配置。

    IKE版本的需选择为v2,其余配置请参见下图。需确保本地IDC侧的配置和VPN网关侧的配置一致。

    华为防火墙-IKEv2-IPsec
    重要

    阿里云VPN网关仅支持配置基于时间的SA生存周期,不支持配置基于流量的SA生存周期(VPN网关侧基于流量的SA生存周期固定为0字节),因此在您使用华为防火墙时,请将基于流量的SA超时时间配置为0字节。

  8. 在左侧导航栏,选择路由 > 静态路由 > 静态路由列表 > 新建,为本地网关设备配置静态路由。

    添加默认路由时,下一跳为本地网关设备的公网IP地址;添加指向VPC的路由时,下一跳为VPN网关的公网IP地址。

  • 本页导读 (1)
文档反馈