华为防火墙配置
使用IPsec-VPN建立站点到站点的连接时,在阿里云侧完成VPN网关的配置后,您还需在本地站点的网关设备中添加VPN配置。本文以华为防火墙为例介绍如何在本地站点的网关设备中添加VPN配置。
场景示例
本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),VPC网段为172.16.0.0/16,VPC中使用云服务器ECS(Elastic Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为10.11.0.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通。
本文涉及的网络配置详情请参见下表。
配置项 | 示例值 | |
VPC | 待和本地IDC互通的私网网段 | 172.16.0.0/16 |
VPN网关 | VPN网关公网IP地址 | 60.XX.XX.111 |
本地IDC | 待和VPC互通的私网网段 | 10.11.0.0/24 |
本地网关设备的公网IP地址 | 1.XX.XX.82 | |
本地网关设备连接公网的接口 | WAN0/0/1 | |
本地网关设备连接本地IDC的接口 | GE0/0/1 | |
以下内容分别展示本地网关设备(华为防火墙)使用IKEv1版本和IKEv2版本时如何添加VPN配置。您可以根据华为防火墙支持的IKE版本情况选择适合的配置。
关于如何选择IKE版本,请参见配置IPsec-VPN连接时,如何选择IKE版本?。
如果本地IDC侧有多个网段要与VPC互通,推荐使用IKEv2版本,且建议您在阿里云侧创建多个IPsec连接,并添加VPN网关路由。更多信息,请参见多网段配置方案推荐。
配置IKEv1 VPN
前提条件
您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(单隧道模式)。
您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置。
本文IPsec连接的配置如下表所示。
配置项
示例值
预共享密钥
ff123TT****
IKE配置
IKE版本
ikev1
协商模式
main
加密算法
aes256
认证算法
sha256
DH分组
group2
SA生存周期(秒)
86400
IPsec配置
加密算法
aes256
认证算法
sha256
DH分组
group2
SA生存周期(秒)
86400
DPD功能
开启DPD功能
开始配置
以下内容仅供参考,实际操作请以对应厂商的设备操作指南为准。
登录华为防火墙Web管理页面。
在顶部菜单栏选择网络页签。
在左侧导航栏,选择。
将连接公网的接口WAN0/0/1加入untrust安全区域,并配置公网IP地址;将连接本地IDC的接口GE0/0/1加入trust安全区域,并置私网IP地址。
在顶部菜单栏选择策略页签。在左侧导航栏,选择,创建安全策略。
在顶部菜单栏选择网络页签。在左侧导航栏,选择,然后参见下图添加相应配置。
本端接口:选择本地网关设备连接公网的接口。本文选择WAN0/0/1。
本端地址:输入本地网关设备的公网IP地址。本文输入1.XX.XX.82。
对端地址:输入阿里云侧VPN网关的公网IP地址。本文输入60.XX.XX.111。
认证方式:选择预共享密钥方式。
预共享密钥:此处的预共享密钥需和阿里云侧的预共享密钥一致,本文中输入ff123TT****。
在当前页面的待加密的数据流区域,地址类型选择IPv4,然后单击新建。
根据以下信息,添加待加密数据流:
源地址/地址组:输入本地IDC中待和VPC互通的网段。本文输入10.11.0.0/24。
目的地址/地址组:输入VPC中待和本地IDC互通的网段。本文输入172.16.0.0/16。
在当前页面的安全提议区域,单击高级。
根据已在阿里云侧下载的IPsec连接配置,为本地网关设备添加VPN配置。本地IDC侧的配置需和VPN网关侧的配置保持一致。
重要阿里云VPN网关仅支持配置基于时间的SA生存周期,不支持配置基于流量的SA生存周期(VPN网关侧基于流量的SA生存周期固定为0字节),因此在您使用华为防火墙时,请将基于流量的SA超时时间配置为0字节。
在左侧导航栏,选择,为本地网关设备配置静态路由。
添加默认路由时,下一跳为本地网关设备的公网IP地址;添加指向VPC的路由时,下一跳为VPN网关的公网IP地址。
配置IKEv2 VPN
前提条件
以下内容仅供参考,实际操作请以对应厂商的设备操作指南为准。
您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(单隧道模式)。
您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置。
本文IPsec连接的配置如下表所示。
配置项
示例值
预共享密钥
ff123TT****
IKE配置
IKE版本
ikev2
协商模式
main
加密算法
aes256
认证算法
sha256
DH分组
group2
SA生存周期(秒)
86400
IPsec配置
加密算法
aes256
认证算法
sha256
DH分组
group2
SA生存周期(秒)
86400
DPD功能
开启DPD功能
开始配置
登录华为防火墙Web管理页面。
在顶部菜单栏选择网络页签。
在左侧导航栏,选择。
将连接公网的接口WAN0/0/1加入untrust安全区域,并配置公网IP地址;将连接本地IDC的接口GE0/0/1加入trust安全区域,并置私网IP地址。
在顶部菜单栏选择策略页签。在左侧导航栏,选择,创建安全策略。
在顶部菜单栏选择网络页签。在左侧导航栏,选择,然后参见下图添加相应配置。
本端接口:选择本地网关设备连接公网的接口。本文选择WAN0/0/1。
本端地址:输入本地网关设备的公网IP地址。本文输入1.XX.XX.82。
对端地址:输入阿里云侧VPN网关的公网IP地址。本文输入60.XX.XX.111。
认证方式:选择预共享密钥方式。
预共享密钥:此处的预共享密钥需和阿里云侧的预共享密钥一致,本文中输入ff123TT****。
在当前页面的待加密的数据流区域,地址类型选择IPv4,然后单击新建。
根据以下信息,添加待加密数据流:
源地址/地址组:输入本地IDC中待和VPC互通的网段。本文输入10.11.0.0/24。
目的地址/地址组:输入VPC中待和本地IDC互通的网段。本文输入172.16.0.0/16。
在当前页面的安全提议区域,单击高级。
根据已在阿里云侧下载的IPsec连接配置,为本地网关设备添加VPN配置。
IKE版本的需选择为v2,其余配置请参见下图。需确保本地IDC侧的配置和VPN网关侧的配置一致。
重要阿里云VPN网关仅支持配置基于时间的SA生存周期,不支持配置基于流量的SA生存周期(VPN网关侧基于流量的SA生存周期固定为0字节),因此在您使用华为防火墙时,请将基于流量的SA超时时间配置为0字节。
在左侧导航栏,选择,为本地网关设备配置静态路由。
添加默认路由时,下一跳为本地网关设备的公网IP地址;添加指向VPC的路由时,下一跳为VPN网关的公网IP地址。