深信服广域网优化WOC产品可以部署在数据中心和分支机构的广域网出口,通过流削减、流压缩、流缓存和协议加速等技术,削减70%的冗余流量,将丢包率降低至1%,节省50%的链路费用,3-10倍提升应用速度,最终实现应用性能或广域网速度的提升。

小编下面就用实例来给大家演示深信服WOC设备怎么通过标准的IPsec VPN来对接H3C的防火墙,首先我们来看一下网络拓扑图

教你怎么用深信服WOC设备通过标准IPSEC(教你怎么用深信服WOC设备通过标准IPSEC)(1)

一、基础场景设备介绍:

总部是一台SANGFOR WOC设备,单臂部署,分支是一台华三的防火墙,网关模式部署,总部和分支建立标准的IPSEC VPN

注意事项,首先要检查WOC是否有第三方授权,在控制台->维护->序列号中查看

教你怎么用深信服WOC设备通过标准IPSEC(教你怎么用深信服WOC设备通过标准IPSEC)(2)

单臂部署需要在出口设备做好UDP500、4500端口映射

二、华三(H3C)防火墙配置步骤

1、配置安全选项

# 创建 IPsec 安全提议为transform-gxdx

[GLDX_Master_FW]ipsec transform-set transform-gxdx

# 配置采用的安全协议为 ESP。

[GLDX_Master_FW-ipsec-transform-set-transform-gxdx]protocol esp

# 配置 ESP 协议采用的加密算法为 3DES,认证算法为 HMAC-MD5。

[DeviceA-ipsec-transform-set-transform1] esp encryption-algorithm 3des-cbc

[DeviceA-ipsec-transform-set-transform1] esp authentication-algorithm md5

2、配置IKE SA参数

#创建IKE proposal 为1

[GLDX_Master_FW]ike proposal 1

# 配置D-H群为group2

[GLDX_Master_FW-ike-proposal-1]dh group2

# 配置 ISAKMP加密算法为 3DES, ISAKMP认证算法为 HMAC-MD5。

[GLDX_Master_FW-ike-proposal-1]encryption-algorithm 3des-cbc

[GLDX_Master_FW-ike-proposal-1]authentication-algorithm md5

#配置ISAKMP存活时间

[GLDX_Master_FW-ike-proposal-1]sa duration 3600

3、配置共享密钥

# 创建 IKE keychain,名称为 keychain-gxdx

[GLDX_Master_FW]ike keychain keychain-gxdx

# 配置对端主机名为 gxdx 对端使用的预共享密钥为明文 密钥:sangfor

[GLDX_Master_FW-ike-keychain-keychain-gxdx]pre-shared-key hostname gxdx key simple sangfor

4、配置协商模式、身份ID类型和身份ID

#创建 IKE profile,名称为 profile-gxdx

[GLDX_Master_FW]ike profile profile-gxdx

# 指定引用的 IKE keychain 为 keychain-gxdx

[GLDX_Master_FW-ike-profile-profile-gxdx]keychain keychain-gxdx

#启用DPD 配置检测间隔为5秒

[GLDX_Master_FW-ike-profile-profile-gxdx]dpd interval 5 on-demand

# 配置协商模式为野蛮模式

[GLDX_Master_FW-ike-profile-profile-gxdx]exchange-mode aggressive

# 配置本端身份为 user-fqdn 名称 gldx

[GLDX_Master_FW-ike-profile-profile-gxdx]local-identity user-fqdn gldx

# 配置对端身份为 user-fqdn 名称 gxdx

[GLDX_Master_FW-ike-profile-profile-gxdx]match remote identity user-fqdn gxdx

#指定引用用IKE SA参数 为proposal 1

[GLDX_Master_FW-ike-profile-profile-gxdx]proposal 1

5、配置出入站策略

#创建acl advanced 3600

[GLDX_Master_FW]acl advanced 3600

#配置允许源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的数据流

[GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source 10.88.0.0 0.0.255.255 destination

10.145.1.0 0.0.0.255

#配置允许源IP 10.145.1.0/24 去往目的IP10.88.0.0/16的数据流

[GLDX_Master_FW-acl-ipv4-adv-3600]rule permit ip source 10.145.1.0 0.0.0.255 destination

10.88.0.0 0.0.255.255

6、配置IPsec vpn策略以及引用相关配置

# 创建一条 IKE 协商方式的 IPsec 安全策略,名称为 policy-gxdx,顺序号为 1

[GLDX_Master_FW]ipsec policy policy-gxdx 1 isakmp

#指定应用IPsec 安全提议为transform-gxdx

[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]transform-set transform-gxdx

#指定应用出入站策略规则为acl 3600

[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]security acl 3600

#配置 IPsec 隧道的本端 IP 地址为 116.1.3.91

[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]local-address 116.1.3.91

#配置 IPsec 隧道的对端 IP 地址为 58.59.136.46

[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]remote-address 58.59.136.46

#配置第二阶段出站的SA保活时间为3600

[GLDX_Master_FW-ipsec-policy-isakmp-policy-gxdx-1]sa duration time-based 3600

7、在设备的互联网互联接口引用ipsec vpn策略

#进入互联网互联接口

[GLDX_Master_FW]interface GigabitEthernet 1/0/1

#配置互联网互联接口引用ipsec vpn策略

[GLDX_Master_FW-GigabitEthernet1/0/1]ipsec apply policy policy-gxdx

8、添加去往总部的VPN路由

目的地址写总部的服务器网段,下一跳交给总部的公网IP

[GLDX_Master_FW] ip route-static 10.145.1.0 255.255.255.0 58.59.136.46

9、配置分支去往总部的数据不被NAT

#进入NAT的配置规则

[GLDX_Master_FW]acl advanced 3000

#配置拒绝源IP 10.88.0.0/16 去往目的IP10.145.1.0/16的数据流(ACL规则是从上往下匹配的,需要把deny的放在permit的上面)

[GLDX_Master_FW-acl-ipv4-adv-3000]rule deny ip source 10.88.0.0 0.0.255.255 destination

10.145.0.0 0.0.0.255

注意事项,华三防火墙的NAT优先级比ipsec vpn的优先高,需要到NAT配置deny 把源内网IP去往总部IP的数据包拒绝NAT,这样数据包就不会被NAT了

三、总部WOC配置

1、配置IPsec VPN第一阶段

使用野蛮模式,远程ip是对端的公网IP,IKE SA参数需要配置两端一致,启用DPD需要两端启用,有NAT环境需要启用NAT-T(NAT穿透),NAT-T对端无需配置会自动协商启用

教你怎么用深信服WOC设备通过标准IPSEC(教你怎么用深信服WOC设备通过标准IPSEC)(3)

2、配置IPsec VPN 第二阶段入站策略

服务和时间自定义,如果没有要求选择所有服务和全部生效,远程IP中填写分支的内网网段和掩码,选择对应的对端设备,启用该策略即可

教你怎么用深信服WOC设备通过标准IPSEC(教你怎么用深信服WOC设备通过标准IPSEC)(4)

3、配置IPsec VPN第二阶段出站策略

服务和时间自定义,如果没有要求选择所有服务和全部生效,本地IP中填写本地服务器的网段和掩码,选择对应的对端设备,SA保活时间 3600秒,启用该策略,需要把密钥完美向前保密的勾去掉,不启用这个功能

教你怎么用深信服WOC设备通过标准IPSEC(教你怎么用深信服WOC设备通过标准IPSEC)(5)

4、查看IPsec VPN状态

可以通过日志和VPN状态查看VPN隧道是否建立成功

教你怎么用深信服WOC设备通过标准IPSEC(教你怎么用深信服WOC设备通过标准IPSEC)(6)

注意事项:如果两端内网都有多个IP段需要访问,建议先使用一个网段把VPN隧道建立正常后再添加其他子网

欢迎关注我们今日头条号、微信公众号、新浪微博,企鹅号,QQ公众号、UC订阅号、一点资讯、百度百家号只要在相应APP里搜索"弱电智能网",就可以关注我们。还可以访问我们官网www.ruodian360.com

,