一、网络拓扑
在防火墙与ORC305之间建立一个安全隧道,对客户路由器端设备子网(192.168.2.0/24),与防火墙端服务器子网(172.16.99.0/24)之间的数据流进行安全保护。安全协议采用ESP,加密算法采用3DES,认证算法采用MD5,组网拓扑图如图所示。
二、H3C SECPATH U200-A端配置指导
(此处以多数客户使用专线上网形式为例)
1、前提准备工作配置IPSec VPN时应保证该通过该设备已经可以正常上网,WAN,LAN,NAT等正常工作,如下图GigabitEthernet 0/1为WAN公网IP X.X.X.242,GigabitEthernet 0/4为LAN,IP为172.x.x.x/24
Interface所属安全域
2、感兴趣流的ACL添加以及配置在设备中存在ACL3000和3004,该ACL是被NAT所调用,我们需要创建一条现场为192.168.2.0/24(目的网络)网段与H3C内外网段172.22.12.0/24(源网络)的ACL进行配置,如下新建ALC3010。以源网络到目的网络的IP数据流为感兴趣流。防火墙-ACL-新建
防火墙-ACL-新建-3010
防火墙-ACL-3010-操作
防火墙-ACL-3010-操作-新建:在ALC 3010中添加规则ID 100,匹配(permit)源网络至目的网络的的数据流,源网络为H3C其中的一个LAN172.22.12.0/24,目的网络为现场LAN 192.168.2.0/24。
3、在原有配置的NAT中排感兴趣流防火墙-ACL-3000-操作-新建:新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。
防火墙-ACL-3004-操作-新建:新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。
4、创建IKE 4.1 VPN-IKE-对等体-新建
对等体名称:test-1(自定义)协商模式:Aggressive(主动模式或野蛮模式)对端网关-主机名:test1对端ID:test1(FQDN,由于现场路由器拨号获得的是动态私网IP,所以使用FQDN来进行对每个对等体进行识别,每次新建ID不可以重复)启用DPD功能:打钩选择下面配置的DPD策略号10启用NAT穿越:打勾预共享秘钥:abc123(自定义)
4.2 VPN-IKE-安全提议-新建IKE安全提议号10认证方法:Preshared Key认证算法:MD5加密算法:3DES-CBC DH组:Group2 SA生存周期:86400秒(下图只是例图)
4.3 VPN-IKE-DPD(DPD Dead Peer Detection)VPN-IKE-DPD新建DPD名称:10触发DPD时间间隔:60s等待DPD现有报文时:60s(下图只是例图)
5、IPSec 5.1 IPSec安全提议IPSec安全提议名:10报文封装模式:tunnel ESP认证算法:MD5 ESP加密算法:3des
5.2创建IPSec模板配置模板名称:test-1(自定义)IKE对等体:test-1(之前已经定义的IKE)安全提议:10 PFS:“选择空”(与截图不符注意)ACL:3010
5.3调用IPSec模板配置IPSec-应用-G0/1-操作调用策略:test-1
6、Policy防火墙-安全策略-域间策略-新建:源域:untunst目的域:trust策略规则:10源IP:192.168.2.0 0.0.0.255(与图中不符注意)目的IP:172.22.12.0 0.0.0.0255(与图中不符注意)
三、ORC305路由器端配置指导
1、将SIM卡插入路由器卡槽
2、给设备上电,登入路由器web页面(默认为192.168.2.1)
3、进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级,保存配置
4、对应SIM卡拨号成功,当前链路变为绿色
5、进入网络→VPN→IPsec界面进行路由器(IPsec VPN客户端)配置
保存并应用配置后即可进入状态→VPN页面看到IPsec VPN状态为已连接
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除