You need to enable JavaScript to run this app.
导航
配置华三防火墙
最近更新时间:2022.04.28 07:16:35首次发布时间:2022.04.28 07:16:35

操作场景

若本地数据中心使用的是华三防火墙,在配置好云上VPN网关、用户网关、IPsec连接等操作后,还要在华三防火墙上进行VPN连接的配置。

注意

不同型号、不同版本的华三防火墙的操作配置、界面显示等可能存在差别。您可根据实际使用的防火墙型号,查看配套说明或咨询第三方防火墙厂商具体的操作配置。

前提条件

已完成创建VPN网关创建用户网关创建IPsec连接添加VPN网关路由的操作。

参数说明

  • 云上VPC

    • 网段为192.168.2.0/24,VPN网关的公网IP为22.XX.XX.10。

    VPN网关的公网IP是指创建VPN网关时,系统自动分配的公网IP,作为VPN网关的网关出口IP,与单独购买的公网IP实例不同,是不可单独持有的资源,生命周期与VPN网关保持一致。

    • 云上IPsec连接
      • 预共享密钥:test@1234

      • IKE配置

        策略取值
        认证算法sha256
        加密算法aes192
        DH算法group14
        协商模式main
        版本ikev1
        生命周期86400
      • IPsec配置

        策略取值
        认证算法sha256
        加密算法aes192
        DH算法group14
        生命周期86400
        安全协议esp
  • 本地数据中心:私网网段为10.1.1.0/24,网关设备的静态公网IP为122.XX.XX.64,网关设备连接公网的接口为Reth1。

操作步骤

本文仅介绍必要的参数配置,其他参数您可根据实际情况,选择性的配置。

  1. 在本地登录华三防火墙的Web操作页面。

  2. 新建IPsec策略。

    1. 在左侧导航树,单击“网络 > VPN > IPsec > 策略 ”。
    2. 在“新建IPsec策略”页面,配置本地IPsec策略。请确保本地IPsec策略与云上VPC中创建的IPsec连接的配置保持一致。
    3. 本文云上IPsec连接的配置参数如“参数说明”所示,本地必要参数配置如表所示,配置完成后保存配置。
    参数说明取值
    基本配置
    接口网关设备连接公网的接口。Reth1
    IP地址类型IP地址的类型。IPv4
    模式选择“对等/分支节点”。对等/分支节点
    对端IP地址/主机名云上VPN网关的公网IP地址。22.XX.XX.10
    协商模式IKE认证阶段的协商模式。主模式:对应云上的“main”;野蛮模式:对应云上的“aggressive”。主模式
    认证方式选择“预共享密钥”。预共享密钥
    预共享密钥IPsec连接时设置的预共享密钥。test@1234
    再次输入预共享密钥确认预共享密钥。test@1234
    对端ID云上VPN网关的公网IP地址。22.XX.XX.10
    本端ID本地VPN网关的公网IP地址。122.XX.XX.64
    保护的数据流
    源IP地址本地IDC的私网网段。10.1.1.0/24
    目的IP地址云上待通信VPC的网段。192.168.2.0/24
  3. 在左侧导航树,单击“网络 > VPN > IPsec > IKE提议 ”,然后单击“新建”,添加IKE配置,完成后单击“确定”。
    此处的IKE配置需要与云上IPsec连接中的IKE配置保持一致。

    参数取值
    优先级10
    认证方式预共享密钥
    认证算法SHA256
    加密算法AES-CBC-192
    DHDH group 14
    IKE SA 生存周期86400
  4. 在左侧导航树,单击“网络 > VPN > IPsec > 策略 ”,找到步骤2新建的策略,在“高级配置”下添加IPsec配置,配置完成后单击“确定”。
    此处的IPsec配置需要与云上IPsec连接中的IPsec配置保持一致。

    参数取值
    封装模式隧道模式
    安全协议ESP
    ESP认证算法SHA256
    ESP加密算法AES-CBC-192
    PFSGroup_14
    IPsec SA生存时间(基于时间)86400
    本端IP地址122.XX.XX.64
  5. 在左侧导航树,单击“网络 > VPN > IPsec > 策略 > 安全策略 > 新建”,分别创建上、下行安全策略。

    • 上行安全策略
      从本地IDC到云上VPC方向的安全策略。

      参数说明取值
      名称输入此条上行安全策略的名称。h3c_to_vpc
      源安全域选择源安全域。Trust
      目的安全域选择目的安全域。Untrust
      类型选择IP的类型。IPv4
      动作设置此条安全策略的执行动作,允许或拒绝访问。允许
      源IP地址本地IDC的私网网段。10.1.1.0/24
      目的IP地址云上VPC的网段。192.168.2.0/24
    • 下行安全策略
      从云上VPC到本地IDC方向的安全策略。

      参数说明取值
      名称输入此条下行安全策略的名称。vpc_to_h3c
      源安全域选择源安全域。Untrust
      目的安全域选择目的安全域。Trust
      类型选择IP的类型。IPv4
      动作设置此条安全策略的执行动作,允许或拒绝访问。允许
      源IP地址云上VPC的网段。192.168.2.0/24
      目的IP地址本地IDC的私网网段。10.1.1.0/24
  6. 在左侧导航树,单击“网络 > 路由 > 静态路由”,进入“新建IPv4静态路由”页面,添加本地IDC到云上VPC方向的静态路由,完成后单击“确定”。

    • 上行路由
      从本地IDC到云上VPC方向的路由。
      参数说明取值
      VRF选择VRF的类型。公网
      目的IP地址输入目的IP地址。0.0.0.0
      掩码长度输入掩码长度。0
      下一跳
      下一跳所属的VRF勾选“下一跳所属的VRF”,并选择为“公网”。勾选,公网
      下一跳IP地址输入下一跳的IP地址。22.XX.XX.10
    • 下行路由
      从云上VPC到本地IDC方向的路由。由于本文操作演示使用直连路由,因此无需配置下行路由。您也可根据实际网络情况配置相关静态路由条目。