文档

华三防火墙配置

更新时间:

使用IPsec-VPN建立站点到站点的连接时,在阿里云侧完成VPN网关的配置后,您还需在本地站点的网关设备中添加VPN配置。本文以华三防火墙为例介绍如何在本地站点的网关设备中添加VPN配置。

场景示例

华三配置场景示例本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),VPC网段为192.168.10.0/24,VPC中使用云服务器ECS(Elastic Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为192.168.66.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通。

本示例涉及的网络配置详情请参见下表。

配置项

示例值

VPC

待和本地IDC互通的私网网段

192.168.10.0/24

VPN网关

VPN网关公网IP地址

101.XX.XX.127

本地IDC

待和VPC互通的私网网段

192.168.66.0/24

本地网关设备的公网IP地址

122.XX.XX.248

本地网关设备连接公网的接口

Reth1

本地网关设备连接本地IDC的接口

G2/0/10

前提条件

  • 您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(双隧道模式)

  • 您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接对端配置

    本示例IPsec连接的配置如下表所示。

    配置项

    示例值

    预共享密钥

    ff123TT****

    IKE配置

    IKE版本

    ikev1

    协商模式

    main

    加密算法

    aes

    说明

    如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需配置为AES-CBC-128。

    认证算法

    sha1

    DH分组

    group2

    SA生存周期(秒)

    86400

    IPsec配置

    加密算法

    aes

    说明

    如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需为AES-CBC-128。

    认证算法

    sha1

    DH分组

    group2

    SA生存周期(秒)

    86400

开始配置

说明

以下内容仅供参考,实际操作请以对应的厂商设备手册为准。

  1. 登录华三防火墙Web管理页面。

  2. 在左侧导航栏,选择网络 > VPN > IPsec > 策略。在新建IPsec策略页面,根据已下载的IPsec连接的信息配置IPsec策略的基本信息。

    本示例IPsec策略的基本配置如下图所示。在配置过程中,您需要在保护的数据流区域,添加需要加密传输的数据流。

    数据流的源IP地址为本地IDC的私网网段192.168.66.0/24,数据流的目的IP地址为VPC的私网网段192.168.10.0/24。

    基本信息

  3. 在左侧导航栏,选择网络 > VPN > IPsec > IKE提议,单击新建,添加IKE配置。

    本示例IKE配置如下图所示。IKE配置

  4. 在左侧导航栏,选择网络 > VPN > IPsec > 策略,找到新建的IPsec策略,单击高级配置,添加IPsec配置。

    本示例IPsec配置如下图所示。IPsec配置

    重要

    阿里云VPN网关仅支持配置基于时间的SA生存时间,不支持配置基于流量的SA生存时间(VPN网关侧基于流量的SA生存时间固定为0字节)。在您使用华三防火墙时,请将基于流量的SA生存时间设置为最大值。

  5. 在左侧导航栏,选择网络 > VPN > IPsec > 策略 > 安全策略 > 新建,分别创建上行安全策略和下行安全策略。

    • 上行安全策略指流量从本地IDC去往阿里云VPC方向的安全策略。本示例上行安全策略配置如下图所示。上行安全策略

    • 下行安全策略指流量从阿里云VPC去往本地IDC方向的安全策略。本示例下行安全策略配置如下图所示。下行安全策略

  6. 在左侧导航栏,选择网络 > 路由 > 静态路由。在新建IPv4静态路由页面,添加静态路由。

    • 为本地IDC去往阿里云VPC方向的流量添加静态路由。本示例配置如下图所示。静态路由

    • 为阿里云VPC去往本地IDC方向的流量添加静态路由。

      说明

      本示例中为直连路由,无需配置该项。请依据您网络的实际情况添加相应的静态路由。

  • 本页导读 (1)