IPsec VPN配置
IPsec VPN 是采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。
IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构,包括安全协议AH(Authentication Header,认证头)和ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)以及用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
翼甲云防火墙搭建IPsec VPN案例:
背景信息:某公司创建了vpc和翼甲云防火墙,网段为192.168.12.0/24,翼甲云防火墙公网ip为115.XX.XX.105。现需要vpc和本地数据中心网络互通。
可以通过在翼甲云防火墙上创建ipsec vpn,实现vpc和本地数据中心网络互通。
其中翼甲云防火墙侧内网网段为:192.168.12.0/24,公网ip为115.XX.XX.105。
本地数据中心侧内网网段为:192.168.88.0/22,公网ip为121.XX.XX.210
步骤1:配置翼甲云防火墙侧ipsec vpn
1.在上方导航栏,单击应用。
2.选择Ipsec VPN.
3.应用导航栏中单击IPSec隧道4.点击添加
启用:配置完成,保存翼甲云防火墙配置后立即生效
描述:输入IPsec连接的描述。
连接类型:可选隧道模式和传输模式。
IKE版本:可选IKEv1和IKEv2。
接口:单带宽时选择外网口会自动补全外部IP,也可选择自定义外部IP。
外部IP:翼甲云防火墙外网口IP。
远程主机:对端公网IP。
本地网络:输入翼甲云防火墙侧VPC所属网段。
远程网络:输入本地网关设备侧的网段。
共享密钥:输入共享密钥,该值必须与本地网关设备的预共享密钥一致。
阶段1 IKE/ISAKMP手动配置:手动配置阶段1参数,该值必须与本地网关设备的参数一致。
第2阶段ESP手动配置:手动配置第2阶段参数,该值必须与本地网关设备的参数一致。
在创建IPsec连接页面,根据页面信息配置IPsec参数,然后点击完成。
至此翼甲云防火墙侧的IPSec vpn配置完毕。
步骤2:配置安全组
确保vpc的桌面安全组规则允许本地网络网段访问。
步骤3:配置本地网关设备侧IPSec vpn
现以华三防火墙为例介绍如何在本地站点与翼甲云防火墙对接ipsec vpn。
1.登录防火墙web页面,单击网络>VPN>IPsec>策略。
2.根据翼甲云防火墙vpn连接的IPsec配置信息,同步配置H3C防火墙IPsec策略。在保护的数据流列表中将源IP为本地网关侧网段、目的IP为翼甲云防火墙侧vpc网段加入到保护的数据流。
根据翼甲云防火墙侧的第2阶段参数配置H3C防火墙的IPsec参数。
3.单击IKE提议>新建
根据翼甲云防火墙侧的阶段1参数配置H3C的IKE协议。
4.单击策略>安全策略>新建,创建上行和下行安全策略。
从翼甲云防火墙侧到本地网关的安全策略配置如下:
从本地网关到翼甲云防火墙侧的安全策略配置如下: