You need to enable JavaScript to run this app.
导航
配置山石防火墙
最近更新时间:2024.01.29 15:39:26首次发布时间:2022.04.28 07:16:35

操作场景

若本地数据中心使用的是山石防火墙,在配置好云上VPN网关、用户网关、IPsec连接等操作后,还要在山石防火墙上进行VPN连接的配置。

注意

不同型号、不同版本的山石防火墙的操作配置、界面显示等可能存在差别,本文使用Hillstone的SG-6000-VM01型号SG6000-CloudEdge-5.5R7P9版本的防火墙进行配置演示。您可根据实际使用的防火墙型号、版本,自行查看防火墙说明文档或咨询第三方防火墙厂商具体的操作配置。

前提条件

已完成创建VPN网关创建用户网关创建IPsec连接添加VPN网关路由的操作。

参数说明

  • 云上VPC

    • 网段为192.168.2.0/24,VPN网关的公网IP为22.XX.XX.10。

    VPN网关的公网IP是指创建VPN网关时,系统自动分配的公网IP,作为VPN网关的网关出口IP,与单独购买的公网IP实例不同,是不可单独持有的资源,生命周期与VPN网关保持一致。

    • 云上IPsec连接
      • 预共享密钥(PSK):test@1234

      • IKE配置

        策略取值
        认证算法sha256
        加密算法aes192
        DH算法group14
        协商模式main
        版本ikev1
        生命周期86400
      • IPsec配置

        策略取值
        认证算法sha256
        加密算法aes192
        DH算法group14
        生命周期86400
        安全协议esp
  • 本地数据中心:私网网段为10.1.1.0/24,网关设备的静态公网IP为122.XX.XX.64,出方向公网接口为vlan100。

操作步骤

本文仅介绍必要的参数配置,其他参数您可根据实际情况,选择性的配置。

  1. 在本地登录Hillstone防火墙的Web页面。

  2. 在顶部导航栏选择“网络”,然后在左侧导航树中选择“VPN > IPsecVPN”。在“IKE VPN 配置”页面单击“P1提议”页签,在“P1提议”页签下单击“新建”。

  3. 在“阶段1提议配置”页面进行IKE协商阶段的配置,配置完成后单击“确定”。
    alt

    参数取值
    提议名称P1
    认证Pre-share
    验证算法SHA-256
    加密算法AES-192
    DH组Group14
    生存时间86400
  4. 在“IKE VPN 配置”页面单击“P2提议”页签,然后单击“新建”,在“阶段2提议配置”页面进行IPsec协商阶段的配置,配置完成后单击“确定”。
    alt

    参数取值
    提议名称P2
    协议ESP
    验证算法SHA-256
    加密算法AES-192
    压缩None
    PFS组Group14
    生存时间86400
  5. 在“IKE VPN 配置”页面单击“VPN对端列表”页签,然后单击“新建”,新建一个名为“hs_to_vpc”的对端VPN,并在“基本配置”页签下配置VPN对端信息,配置完成后单击“确定”。
    若需开启NAT穿越,请在“高级配置”页签下单击“启用”开启,全部配置完成后单击“确定”。
    alt

    参数说明取值
    认证模式对应云上VPC中IPsec连接的“协商模式”。主模式对应main,野蛮模式对应aggressive。主模式
    类型云上VPN网关的公网IP地址类型。静态IP
    对端IP地址云上VPN网关的公网IP地址。22.XX.XX.10
    本地ID本地ID的类型。IPv4
    本地IP本地IDC侧的公网IP地址。122.XX.XX.64
    对端ID本地ID的类型。IPv4
    对端IP云上VPN网关的公网IP地址。22.XX.XX.10
    提议1步骤2中配置的P1提议。P1
    预共享密钥要与云上VPC中IPsec连接的共享密钥保持一致。test@1234
  6. 在“IKE VPN 配置”页面单击“IKE VPN列表”,然后单击“新建”,参考下表在“基本配置”页签下配置IKE VPN,配置完成后单击“确定”,然后单击“高级配置”页签,勾选“自动连接”后的“启用”。

    参数说明取值
    对端
    对端选项选择步骤5中创建的VPN对端的名称。hs_to_vpc
    隧道
    名称VPN隧道的名称。hs_to_vpc
    模式VPN隧道的模式。tunnel
    P2提议选择步骤4中创建的P2提议。P2
    代理ID选择配置代理ID的方式。手工
    本地IP/掩码输入本地IDC侧的私网网段。10.1.1.0/24
    远程IP/掩码输入云上VPC的私有网段。192.168.2.0/24
    服务选择服务方式,完成后需要单击“添加”按钮保存。any
  7. 在左侧导航树中单击“安全域”,然后单击“新建”,在“基本配置”页签下进行安全域的配置,配置完成后单击“确定”。

    参数说明取值
    安全域名称设置安全域的名称sec_01
    类型选择安全域的类型。三层安全域
    虚拟路由器选择本地IDC的虚拟路由。trust_vr
  8. 在左侧导航树中单击“接口”,然后单击“新建 > 隧道接口”,在“隧道接口”的“基本配置”页签下配置隧道接口,配置完成后单击“确定”。
    如需配置MUT和Keep-alive IP,可在“隧道接口”的“属性”页签下配置。

    参数说明取值
    基本配置
    接口名称输入隧道接口的名称,固定格式为tunnel序号,序号的取值范围1~64.tunnel100
    绑定安全域选择需要绑定的安全域的类型。三层安全域
    安全域选择步骤7创建的安全域。sec_01
    隧道绑定配置
    隧道类型固定为“IPsec VPN”。IPsec VPN
    VPN名称选择步骤6中VPN隧道的名称,完成后需要单击“添加”按钮保存。hs_to_vpc
  9. 在顶部导航栏选择“策略”,然后在左侧导航树单击“策略”,单击“新建”,配置上、下行的安全策略

    1. 添加上行安全策略。
      从本地IDC到云上VPC方向的安全策略。

      参数说明取值
      源信息
      安全域选择源安全域,为步骤7中“虚拟路由器”的名称。trust_vr
      地址此处选择“any”。any
      目的
      安全域选择目的安全域,为步骤6中创建的安全域的名称。sec_01
      地址此处选择“any”。any
      动作设置此条安全策略的执行动作,允许或拒绝访问。允许
    2. 添加下行安全策略。
      从云上VPC到本地IDC方向的安全策略。

      参数说明取值
      源信息
      安全域选择源安全域,为步骤6中创建的安全域的名称。sec_01
      地址此处选择“any”。any
      目的
      安全域目的源安全域,为步骤6中“虚拟路由器”的名称。trust_vr
      地址此处选择“any”。any
      操作设置此条安全策略的执行动作,允许或拒绝访问。允许
  10. 在顶部导航栏选择“网络”,然后在左侧导航树单击“路由”,,单击“新建”,添加上、下行路由。

    1. 上行路由
      从本地IDC到云上VPC方向的路由。
      alt
      参数说明取值
      所属虚拟路由器选择步骤6中本地IDC的虚拟路由。trust_vr
      目的地云上VPC的私网网段。192.168.2.0
      子网掩码网段的掩码。24
      下一跳选择下一跳的类型。接口
      接口选择步骤8中新创建的接口的名称。tunnel100
    2. 下行路由:自行配置防火墙下行接口的路由。若防火墙下行接口IP地址属于本地IDC的私网网断,则存在本地直连路由,无需再配置下行路由。