建议使用以下浏览器,以获得最佳体验。 IE 9.0+以上版本 Chrome 31+ 谷歌浏览器 Firefox 30+ 火狐浏览器
请选择 进入手机版 | 继续访问电脑版
设置昵称

在此一键设置昵称,即可参与社区互动!

确定
我再想想
选择版块

shangwubad...

发帖: 15粉丝: 1

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-4-10 18:11:19 2400 3 楼主 显示全部楼层
【VPN锦囊】飞塔对接华为云配置指南

作者 : 华为云VPN服务团队

一、拓扑说明

如图拓扑所示,您本地数据中心存在多个互联网出口,当前指定11.11.11.11的物理接口和华为云的VPC建立VPN连接,本地子网网段为10.10.0.0/16,华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP22.22.22.22,现通过创建VPN连接方式来连通本地网络到VPC子网。

拓扑.jpg

华为云端的VPN连接资源策略配置按照缺省信息配置,详见下图

华为云策略配置.jpg

本实例以华为云端VPN配置信息为基础,详细介绍用户侧飞塔防火墙设备的VPN配置。


 二、Fortinet配置

1、配置IPsecVPN

创建隧道

选择【虚拟专网】>>【隧道】,为隧道命名,如ipsec,选择自定义VPN隧道进行创建。

创建隧道第一步.jpg

配置隧道基本信息

按照云端网关IP配置网关IP地址为22.22.22.22,选择接口为连接VPN的数据流出接口,即本端11.11.11.11接口,版本选择1,mode选择主模式;

创建隧道第二步.jpg

配置IKE一阶段

选择一阶段的加密和认证算法与云端相同,删除多余配置信息,Diffe-Hellman组选择5XAUTH选择禁用;

创建隧道IKE一阶段配置.jpg

配置IPsec二阶段

按照实际情况配置选择本地地址(本端子网10.10.0.0/16)和remote-address(远端子网172.16.0.0/24),选择“”确认,二阶段策略配置信息同样须与云端信息一致。

若您的组网中存在多个子网网段,则每两个云上云下的网段组合都需要配置独立的二阶段高级配置,尤其需要勾选启用完全前向保密(PFS)”,如您云下有三个子网网段,云上有2个子网网段,二阶段需要添加6个云上云下网段地址组合配置,同时确保6个二阶段的高级配置信息一致。

创建隧道IPsec二阶段配置2.jpg

VPN隧道创建完成后会在物理接口port下自动生成一个VPN隧道接口;

隧道创建完成物理接口下新增VPN隧道接口1.jpg

完成IPsec隧道配置

VPN隧道成功创建参数展示1.jpg

2配置路由

①添加静态路由

添加去往云端VPC子网的出口路由,出接口为VPN接口,下一跳网关为出接口的网关。

添加静态路由1.jpg

②配置多出口策略路由

配置源地址为本地子网,目标地址为云端VPC的子网的策略路由,请调整策略路由的配置顺序,确保该策略路由优先调用。

多出口网络配置策略路由1.jpg

3、配置策略及NAT

①本地访问云端策略

流入接口选择trust,流出接口选择创建隧道生成的接口,源地址10.10.0.0/16,目的地址172.16.0.0/24,动作为允许访问,服务选择all,不开启NAT。

策略放行流出本地流量1.jpg

②云端访问本地策略

流入接口选择创建隧道生成的接口,流出接口选择trust,源地址172.16.0.0/24,目的地址10.10.0.0/16,动作为允许访问,服务选择all(也可过滤掉高危端口),不开启NAT。

策略方向流入本地网络流量1.jpg

4、配置验证

①本地VPN状态正常

选择【虚拟专网】>>【监视器】>>【IPsec监视器】,查看当前VPN配置状态正常

本地VPN状态正常1.jpg

②云端VPN状态正常

云端VPN配置状态1.jpg

5、命令行配置

①物理接口配置

config system interface

   edit "port1"

        set vdom "root"

        set ip 11.11.11.11 255.255.255.0

        set type physical

next

    edit "ipsec"                                  //隧道接口配置信息

        set vdom "root"

        set type tunnel

        set interface "port1"               //隧道绑定的物理接口

               next                   

         end

②接口划分区域配置

config system zone

    edit "trust"

        set intrazone allow

        set interface "A1"

    next

    edit "untrust"

        set intrazone allow

        set interface "port1 "

    next

end

③地址对象配置

config firewall address

         edit "hw-172.16.0.0/24"

        set uuid f612b4bc-5487-51e9-e755-08456712a7a0

        set subnet 172.16.0.0 255.255.255.0              //云端地址网段

         next

    edit "local-10.10.0.0/16"

        set uuid 9f268868-5489-45e9-d409-5abc9a946c0c

        set subnet 10.10.0.0 255.255.0.0                     //本地地址网段

    next

IPsec配置

config vpn ipsec phase1-interface                                        //一阶段配置

    edit "ipsec"

        set interface "port1"

        set nattraversal disable

        set proposal aes128-sha1

        set comments "IPsec"

        set dhgrp 5

        set remote-gw 22.22.22.22

        set psksecret ENC dmFyLz1ol0【加密后预共享密钥】xfDQs21Bi9RA==

    next

end

config vpn ipsec phase2-interface                                       //二阶段配置

    edit "IP-TEST"

        set phase1name "ipsec "

        set proposal aes128-sha1

        set dhgrp 5

        set keylifeseconds 3600

        set src-subnet 10.10.0.0 255.255.0.0

        set dst-subnet 172.16.0.0 255.255.255.0

    next

end

⑤访问策略配置

config firewall policy

 edit 15                                                 //策略编号15,流入至内网策略,未启用NAT

        set uuid 4f452870-ddb2-51e5-35c9-38a987ebdb6c

        set srcintf "ipsec"

        set dstintf "trust"

        set srcaddr "hw-172.16.0.0/24"

        set dstaddr "local-10.10.0.0/16"

        set action accept

        set schedule "always"

        set service "ALL"

        set logtraffic all

    next

    edit 29                                           //策略编号29,流出至云端策略,未启用NAT

        set uuid c2d0ec77-5254-51e9-80dc-2813ccf51463

        set srcintf "trust"

        set dstintf "ipsec"

        set srcaddr "local-10.10.0.0/16"

        set dstaddr "hw-172.16.0.0/24"

        set action accept

        set schedule "always"

        set service "ALL"

        set logtraffic all

    next

⑥路由配置

config router static

    edit 24                                 //路由编号24,访问云端静态路由

        set dst 172.16.0.0 255.255.255.0

        set gateway 11.11.11.1

        set distance 10

        set device "port1"

config router policy

edit 2                         //策略路由编号2,云下访问云端策略路由

        set input-device "A1"

        set src "10.10.00/255.255.0.0"

        set dst "172.16.0.0/255.255.255.0"

        set gateway 11.11.11.1

        set output-device "port1"


举报
分享

分享文章到朋友圈

分享文章到微博

蓝书签

发帖: 56粉丝: 16

级别 : 版主

Rank: 7Rank: 7Rank: 7

发消息 + 关注

发表于2019-4-10 18:41:01 沙发 显示全部楼层

学习了

点赞1 回复 举报

shangwubad...

发帖: 15粉丝: 1

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-4-11 15:13:41 板凳 显示全部楼层

好细致

好有帮助


点赞 回复 举报

VPC小蜜蜂

发帖: 3粉丝: 0

级别 : 新手上路

Rank: 1

发消息 + 关注

发表于2019-4-16 14:21:15 地板 显示全部楼层

很赞,学习了。

点赞 回复 举报

游客

您需要登录后才可以回帖 登录 | 立即注册