文档

华为防火墙配置

更新时间:

使用IPsec-VPN建立站点到站点的连接时,在阿里云侧完成VPN网关的配置后,您还需在本地站点的网关设备中添加VPN配置。本文以华为防火墙为例介绍如何在本地站点的网关设备中添加VPN配置。

场景示例

华为防火墙配置场景示例本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),VPC网段为172.16.0.0/16,VPC中使用云服务器ECS(Elastic Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为10.11.0.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通。

本文涉及的网络配置详情请参见下表。

配置项

示例值

VPC

待和本地IDC互通的私网网段

172.16.0.0/16

VPN网关

VPN网关公网IP地址

60.XX.XX.111

本地IDC

待和VPC互通的私网网段

10.11.0.0/24

本地网关设备的公网IP地址

1.XX.XX.82

本地网关设备连接公网的接口

10GE1/0/0

本地网关设备连接本地IDC的接口

10GE1/0/1

说明
  • 以下内容分别展示本地网关设备(华为防火墙)使用IKEv1版本和IKEv2版本时如何添加VPN配置。您可以根据华为防火墙支持的IKE版本情况选择适合的配置。

    关于如何选择IKE版本,请参见配置IPsec-VPN连接时,如何选择IKE版本?

  • 如果本地IDC侧有多个网段要与VPC互通,推荐使用IKEv2版本,且建议您在阿里云侧创建多个IPsec连接,并添加VPN网关路由。更多信息,请参见多网段配置方案推荐

配置IKEv1 VPN

前提条件

  • 您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(单隧道模式)

  • 您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置

    本文IPsec连接的配置如下表所示。

    配置项

    示例值

    预共享密钥

    ff123TT****

    IKE配置

    IKE版本

    ikev1

    协商模式

    main

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    IPsec配置

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    DPD功能

    开启DPD功能

开始配置

说明

以下操作以USG6000V2设备、V500R005C00SPC100版本举例,仅供参考。操作时请以您的实际操作环境以及对应厂商的设备操作指南为准。

  1. 登录华为防火墙Web管理页面。

  2. 在顶部菜单栏选择网络页签。

  3. 在左侧导航栏,选择接口 > 接口

    将连接公网的接口10GE1/0/0加入untrust安全区域,并配置公网IP地址;将连接本地IDC的接口10GE1/0/1加入trust安全区域,并设置私网IP地址。

  4. 在顶部菜单栏选择策略页签。在左侧导航栏,选择安全策略 > 安全策略,在安全策略列表页面,单击新建安全策略

  5. 在顶部菜单栏选择网络页签。在左侧导航栏,选择IPSec > IPSec。在IPSec策略列表页面,单击新建,然后参见下图添加相应配置。

    2024-04-09_10-52-58

    • 本端接口:选择本地网关设备连接公网的接口。本文选择10GE1/0/0。

    • 本端地址:输入本地网关设备的公网IP地址。本文输入1.XX.XX.82

    • 对端地址:输入阿里云侧VPN网关的公网IP地址。本文输入60.XX.XX.111

    • 认证方式:选择预共享密钥方式。

    • 预共享密钥:此处的预共享密钥需和阿里云侧的预共享密钥一致,本文中输入ff123TT****

  6. 在当前页面的待加密的数据流区域,地址类型选择IPv4,然后单击新建

    根据以下信息,添加待加密数据流:2024-04-09_10-57-43

    • 源地址/地址组:输入本地IDC中待和VPC互通的网段。本文输入10.11.0.0/24

    • 目的地址/地址组:输入VPC中待和本地IDC互通的网段。本文输入172.16.0.0/16

  7. 在当前页面的安全提议区域,单击高级

    根据已在阿里云侧下载的IPsec连接配置,为本地网关设备添加VPN配置。本地IDC侧的配置需和VPN网关侧的配置保持一致。ikeV1

    重要

    阿里云VPN网关仅支持配置基于时间的SA生存周期,不支持配置基于流量的SA生存周期(VPN网关侧基于流量的SA生存周期固定为0字节),因此在您使用华为防火墙时,请将基于流量的SA超时时间配置为0字节。

  8. 在左侧导航栏,选择路由 > 静态路由,在右侧页面的静态路由列表区域,单击新建,为本地网关设备配置静态路由。

    添加默认路由时,下一跳为本地网关设备的公网IP地址;添加指向VPC的路由时,下一跳为VPN网关的公网IP地址。

配置IKEv2 VPN

前提条件

  • 您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(单隧道模式)

  • 您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置

    本文IPsec连接的配置如下表所示。

    配置项

    示例值

    预共享密钥

    ff123TT****

    IKE配置

    IKE版本

    ikev2

    协商模式

    main

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    IPsec配置

    加密算法

    aes256

    认证算法

    sha256

    DH分组

    group2

    SA生存周期(秒)

    86400

    DPD功能

    开启DPD功能

开始配置

说明

以下操作以USG6000V2设备、V500R005C00SPC100版本举例,仅供参考。操作时请以您的实际操作环境以及对应厂商的设备操作指南为准。

  1. 登录华为防火墙Web管理页面。

  2. 在顶部菜单栏选择网络页签。

  3. 在左侧导航栏,选择接口 > 接口

    将连接公网的接口10GE1/0/0加入untrust安全区域,并配置公网IP地址;将连接本地IDC的接口10GE1/0/1加入trust安全区域,并设置私网IP地址。

  4. 在顶部菜单栏选择策略页签。在左侧导航栏,选择安全策略 > 安全策略,在安全策略列表页面,单击新建安全策略

  5. 在顶部菜单栏选择网络页签。在左侧导航栏,选择IPSec > IPSec。在IPSec策略列表页面,单击新建,然后参见下图添加相应配置。

    2024-04-09_10-52-58

    • 本端接口:选择本地网关设备连接公网的接口。本文选择10GE1/0/0。

    • 本端地址:输入本地网关设备的公网IP地址。本文输入1.XX.XX.82

    • 对端地址:输入阿里云侧VPN网关的公网IP地址。本文输入60.XX.XX.111

    • 认证方式:选择预共享密钥方式。

    • 预共享密钥:此处的预共享密钥需和阿里云侧的预共享密钥一致,本文中输入ff123TT****

  6. 在当前页面的待加密的数据流区域,地址类型选择IPv4,然后单击新建

    根据以下信息,添加待加密数据流:2024-04-09_10-57-43

    • 源地址/地址组:输入本地IDC中待和VPC互通的网段。本文输入10.11.0.0/24

    • 目的地址/地址组:输入VPC中待和本地IDC互通的网段。本文输入172.16.0.0/16

  7. 在当前页面的安全提议区域,单击高级

    根据已在阿里云侧下载的IPsec连接配置,为本地网关设备添加VPN配置。

    IKE版本需选择为v2,其余配置请参见下图。需确保本地IDC侧的配置和VPN网关侧的配置一致。

    IKEv2

    重要

    阿里云VPN网关仅支持配置基于时间的SA生存周期,不支持配置基于流量的SA生存周期(VPN网关侧基于流量的SA生存周期固定为0字节),因此在您使用华为防火墙时,请将基于流量的SA超时时间配置为0字节。

  8. 在左侧导航栏,选择路由 > 静态路由,在右侧页面的静态路由列表区域,单击新建,为本地网关设备配置静态路由。

    添加默认路由时,下一跳为本地网关设备的公网IP地址;添加指向VPC的路由时,下一跳为VPN网关的公网IP地址。