配置山石防火墙

操作场景

若本地数据中心使用的是山石防火墙，在配置好云上VPN网关、用户网关、IPsec连接等操作后，还要在山石防火墙上进行VPN连接的配置。

前提条件

已完成创建VPN网关、创建用户网关、创建IPsec连接和添加VPN网关路由的操作。

参数说明

• 云上VPC

  • 网段为192.168.2.0/24，VPN网关的公网IP为22.XX.XX.10。

  VPN网关的公网IP是指创建VPN网关时，系统自动分配的公网IP，作为VPN网关的网关出口IP，与单独购买的公网IP实例不同，是不可单独持有的资源，生命周期与VPN网关保持一致。

  • 云上IPsec连接

    • 预共享密钥（PSK）：test@1234

    • IKE配置

      策略	取值
      认证算法	sha256
      加密算法	aes192
      DH算法	group14
      协商模式	main
      版本	ikev1
      生命周期	86400

    • IPsec配置

      策略	取值
      认证算法	sha256
      加密算法	aes192
      DH算法	group14
      生命周期	86400
      安全协议	esp

• 本地数据中心：私网网段为10.1.1.0/24，网关设备的静态公网IP为122.XX.XX.64，出方向公网接口为vlan100。

操作步骤

本文仅介绍必要的参数配置，其他参数您可根据实际情况，选择性的配置。

1. 在本地登录Hillstone防火墙的Web页面。

2. 在顶部导航栏选择“网络”，然后在左侧导航树中选择“VPN > IPsecVPN”。在“IKE VPN 配置”页面单击“P1提议”页签，在“P1提议”页签下单击“新建”。

3. 在“阶段1提议配置”页面进行IKE协商阶段的配置，配置完成后单击“确定”。
   

   参数	取值
   提议名称	P1
   认证	Pre-share
   验证算法	SHA-256
   加密算法	AES-192
   DH组	Group14
   生存时间	86400

4. 在“IKE VPN 配置”页面单击“P2提议”页签，然后单击“新建”，在“阶段2提议配置”页面进行IPsec协商阶段的配置，配置完成后单击“确定”。
   

   参数	取值
   提议名称	P2
   协议	ESP
   验证算法	SHA-256
   加密算法	AES-192
   压缩	None
   PFS组	Group14
   生存时间	86400

5. 在“IKE VPN 配置”页面单击“VPN对端列表”页签，然后单击“新建”，新建一个名为“hs_to_vpc”的对端VPN，并在“基本配置”页签下配置VPN对端信息，配置完成后单击“确定”。
   若需开启NAT穿越，请在“高级配置”页签下单击“启用”开启，全部配置完成后单击“确定”。
   

   参数	说明	取值
   认证模式	对应云上VPC中IPsec连接的“协商模式”。主模式对应main，野蛮模式对应aggressive。	主模式
   类型	云上VPN网关的公网IP地址类型。	静态IP
   对端IP地址	云上VPN网关的公网IP地址。	22.XX.XX.10
   本地ID	本地ID的类型。	IPv4
   本地IP	本地IDC侧的公网IP地址。	122.XX.XX.64
   对端ID	本地ID的类型。	IPv4
   对端IP	云上VPN网关的公网IP地址。	22.XX.XX.10
   提议1	步骤2中配置的P1提议。	P1
   预共享密钥	要与云上VPC中IPsec连接的共享密钥保持一致。	test@1234

6. 在“IKE VPN 配置”页面单击“IKE VPN列表”，然后单击“新建”，参考下表在“基本配置”页签下配置IKE VPN，配置完成后单击“确定”，然后单击“高级配置”页签，勾选“自动连接”后的“启用”。

   参数	说明	取值
   对端
   对端选项	选择步骤5中创建的VPN对端的名称。	hs_to_vpc
   隧道
   名称	VPN隧道的名称。	hs_to_vpc
   模式	VPN隧道的模式。	tunnel
   P2提议	选择步骤4中创建的P2提议。	P2
   代理ID	选择配置代理ID的方式。	手工
   本地IP/掩码	输入本地IDC侧的私网网段。	10.1.1.0/24
   远程IP/掩码	输入云上VPC的私有网段。	192.168.2.0/24
   服务	选择服务方式，完成后需要单击“添加”按钮保存。	any

7. 在左侧导航树中单击“安全域”，然后单击“新建”，在“基本配置”页签下进行安全域的配置，配置完成后单击“确定”。

   参数	说明	取值
   安全域名称	设置安全域的名称	sec_01
   类型	选择安全域的类型。	三层安全域
   虚拟路由器	选择本地IDC的虚拟路由。	trust_vr

8. 在左侧导航树中单击“接口”，然后单击“新建 > 隧道接口”，在“隧道接口”的“基本配置”页签下配置隧道接口，配置完成后单击“确定”。
   如需配置MUT和Keep-alive IP，可在“隧道接口”的“属性”页签下配置。

   参数	说明	取值
   基本配置
   接口名称	输入隧道接口的名称，固定格式为tunnel序号，序号的取值范围1～64.	tunnel100
   绑定安全域	选择需要绑定的安全域的类型。	三层安全域
   安全域	选择步骤7创建的安全域。	sec_01
   隧道绑定配置
   隧道类型	固定为“IPsec VPN”。	IPsec VPN
   VPN名称	选择步骤6中VPN隧道的名称，完成后需要单击“添加”按钮保存。	hs_to_vpc

9. 在顶部导航栏选择“策略”，然后在左侧导航树单击“策略”，单击“新建”，配置上、下行的安全策略。

   1. 添加上行安全策略。
      从本地IDC到云上VPC方向的安全策略。

      参数	说明	取值
      源信息
      安全域	选择源安全域，为步骤7中“虚拟路由器”的名称。	trust_vr
      地址	此处选择“any”。	any
      目的
      安全域	选择目的安全域，为步骤6中创建的安全域的名称。	sec_01
      地址	此处选择“any”。	any
      动作	设置此条安全策略的执行动作，允许或拒绝访问。	允许

   2. 添加下行安全策略。
      从云上VPC到本地IDC方向的安全策略。

      参数	说明	取值
      源信息
      安全域	选择源安全域，为步骤6中创建的安全域的名称。	sec_01
      地址	此处选择“any”。	any
      目的
      安全域	目的源安全域，为步骤6中“虚拟路由器”的名称。	trust_vr
      地址	此处选择“any”。	any
      操作	设置此条安全策略的执行动作，允许或拒绝访问。	允许

10. 在顶部导航栏选择“网络”，然后在左侧导航树单击“路由”，，单击“新建”，添加上、下行路由。

    1. 上行路由
       从本地IDC到云上VPC方向的路由。
       

       参数	说明	取值
       所属虚拟路由器	选择步骤6中本地IDC的虚拟路由。	trust_vr
       目的地	云上VPC的私网网段。	192.168.2.0
       子网掩码	网段的掩码。	24
       下一跳	选择下一跳的类型。	接口
       接口	选择步骤8中新创建的接口的名称。	tunnel100

    2. 下行路由：自行配置防火墙下行接口的路由。若防火墙下行接口IP地址属于本地IDC的私网网断，则存在本地直连路由，无需再配置下行路由。