IPsec VPN配置

IPsec VPN 是采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。

IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构，包括安全协议AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，互联网密钥交换）以及用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

翼甲云防火墙搭建IPsec VPN案例：

背景信息：某公司创建了vpc和翼甲云防火墙，网段为192.168.12.0/24，翼甲云防火墙公网ip为115.XX.XX.105。现需要vpc和本地数据中心网络互通。

可以通过在翼甲云防火墙上创建ipsec vpn，实现vpc和本地数据中心网络互通。

其中翼甲云防火墙侧内网网段为：192.168.12.0/24，公网ip为115.XX.XX.105。

本地数据中心侧内网网段为：192.168.88.0/22，公网ip为121.XX.XX.210

步骤1：配置翼甲云防火墙侧ipsec vpn

1.在上方导航栏，单击应用。

2.选择Ipsec VPN.

3.应用导航栏中单击IPSec隧道4.点击添加

启用：配置完成，保存翼甲云防火墙配置后立即生效

描述：输入IPsec连接的描述。

连接类型：可选隧道模式和传输模式。

IKE版本：可选IKEv1和IKEv2。

接口：单带宽时选择外网口会自动补全外部IP，也可选择自定义外部IP。

外部IP：翼甲云防火墙外网口IP。

远程主机：对端公网IP。

本地网络：输入翼甲云防火墙侧VPC所属网段。

远程网络：输入本地网关设备侧的网段。

共享密钥：输入共享密钥，该值必须与本地网关设备的预共享密钥一致。

阶段1 IKE/ISAKMP手动配置：手动配置阶段1参数，该值必须与本地网关设备的参数一致。

第2阶段ESP手动配置：手动配置第2阶段参数，该值必须与本地网关设备的参数一致。

在创建IPsec连接页面，根据页面信息配置IPsec参数，然后点击完成。

至此翼甲云防火墙侧的IPSec vpn配置完毕。

步骤2：配置安全组

确保vpc的桌面安全组规则允许本地网络网段访问。

步骤3：配置本地网关设备侧IPSec vpn

现以华三防火墙为例介绍如何在本地站点与翼甲云防火墙对接ipsec vpn。

1.登录防火墙web页面，单击网络>VPN>IPsec>策略。

2.根据翼甲云防火墙vpn连接的IPsec配置信息，同步配置H3C防火墙IPsec策略。在保护的数据流列表中将源IP为本地网关侧网段、目的IP为翼甲云防火墙侧vpc网段加入到保护的数据流。

根据翼甲云防火墙侧的第2阶段参数配置H3C防火墙的IPsec参数。

3.单击IKE提议>新建

根据翼甲云防火墙侧的阶段1参数配置H3C的IKE协议。

4.单击策略>安全策略>新建，创建上行和下行安全策略。

从翼甲云防火墙侧到本地网关的安全策略配置如下：

从本地网关到翼甲云防火墙侧的安全策略配置如下：