91
VPN網關最佳實踐係列(三)如何配置與華三H3C防火牆連接,構建混合雲網絡
新華三公司擁有諸多係列的網絡安全產品,其中的防火牆產品係列是目前廣泛被企業采用的數據中心安全產品。經過測試,阿裏雲VPN網關完全兼容H3C的企業防火牆產品。通過配置這兩款產品,企業能夠快速打通從雲下到雲上的數據通信,安全構建混合雲的網絡基礎架構。本文羅列了從頭到尾的產品配置步驟,供大家參考。
規劃和準備
部署VPN網關前,需要做好以下準備:
-
為雲下IDC和雲上VPC規劃兩個私網IP地址段。
-
為雲下IDC的網關設備即華三防火牆配置靜態公網IP,否則無法和雲上VPN網關對接。
-
創建VPC和交換機。
應用場景
本教程以以下配置為例,介紹如何通過VPN網關實現雲上VPC和雲下IDC互通,使VPC內雲資源和IDC內的服務器可以通過私網進行通信。
-
VPC 網段:192.168.10.0/24
-
雲下IDC的私網網段:192.168.66.0/24
-
線下H3C防火牆的公網IP地址:122.225.207.248
-
H3C防火牆的公網網口:Reth 1;私網網口:G 2/0/10
阿裏雲VPN配置
步驟一 創建VPN網關
-
登錄專有網絡管理控製台。
-
單擊創建VPN網關。
-
在VPN網關購買頁麵,配置如下信息,然後單擊立即購買,完成支付。
-
地域: 選擇您的VPC所在的地域。
-
專有網絡: 選擇要連接的VPC。
-
帶寬規格:選擇帶寬規格。帶寬規格是VPN網關所具備的公網帶寬。
-
-
返回專有網絡管理控製台,選擇VPC所在的地域,查看創建的VPN網關。
剛創建好的VPN網關的狀態是準備中。約兩分鍾左右會變為正常,即VPN網關已完成初始化,可正常使用。如下圖所示,新建的VPN網關的公網IP地址為101.xxx.xxx.127。
步驟二 創建用戶網關
-
打開用戶網關頁麵。
-
選擇VPC所在的地域。
-
單擊創建用戶網關。
-
在創建用戶網關對話框,輸入H3C防火牆的公網IP地址122.225.207.248,然後單擊提交。
步驟三 創建VPN連接
-
打開VPN連接頁麵.
-
選擇VPC所在的地域。
-
單擊創建VPN連接。
-
在創建VPN連接對話框,輸入以下信息,然後單擊提交。
-
VPN網關:選擇新建的VPN網關。
-
用戶網關:選擇新建的用戶網關,代表雲下IDC的網關。
-
本端網段:雲上VPC的私網網段,本教程中為192.168.10.0/24。
-
對端網段:雲下IDC的私網網段,本教程中為192.168.66.0/24。
-
步驟四 導出雲端VPN網關配置
-
打開VPN連接頁麵。
-
選擇VPC所在的地域。
-
找到目標VPN連接,然後單擊下載配置。
-
根據華三防火牆的配置要求,將上述配置加載到防火牆中。
注意:下載配置中的RemotSubnet和LocalSubnet與創建 VPN 連接時的本端網段和對端網段正好是相反的。因為從雲上VPN網關角度看,對端是用戶IDC的網段,本端是VPC網段;而從線下IDC的網關設備角度看,LocalSubnet就是指線下IDC的網段,RemotSubnet則是指雲上 VPC 的網段。
步驟五 設置路由
-
登錄專有網絡管理控製台。
-
在專有網絡列表頁麵,找到VPN網關所屬的VPC ,單擊該VPC的ID鏈接。
-
在VPC詳情頁麵,單擊路由器,然後單擊添加路由。
-
在添加路由對話框,配置如下信息,單擊確定。
-
目標網段:防火牆的私網網段,本教程中是192.168.66.0/24。
-
下一跳類型:選擇VPN網關。
-
VPN網關:選擇創建好的VPN網關。
-
H3C防火牆操作步驟
根據雲上 VPC 導出的 VPN 網關配置,在防火牆上做相應適配,具體信息如下表。
IPSec協議信息
| 協議 | 配置 | 取值 |
|---|---|---|
| IKE | 認證算法 | sha1 |
| 加密算法 | aes | |
| DH分組 | group2 | |
| IKE版本 | ikev1 | |
| 生命周期 | 86400 | |
| 協商模式 | main | |
| PSK | h3c | |
| IPSec | 認證算法 | sha1 |
| 加密算法 | aes | |
| DH分組 | group2 | |
| IKE版本 | ikev1 | |
| 生命周期 | 86400 | |
| 協商模式 | esp |
網絡連接信息
| 配置 | 取值 | |
|---|---|---|
| VPC信息 | 私網CIDR | 192.168.10.0/24 |
| 網關公網IP | 101.xxx.xxx.127 | |
| IDC信息 | 私網CIDR | 192.168.66.0/24 |
| 網關公網IP | 122.xxx.xxx.248 | |
| 上行公網網口 | Reth 1 | |
| 下行私網網口 | G 2/0/10 |
登錄防火牆WEB界麵,完成基本網絡配置。包括上下行接口的配置。
-
上行公網口配置,配置IP地址並將接口加入untrust域:
-
下行私網口配置:配置IP地址並將接口加入trust域:
步驟一 IPSec 策略配置
-
登錄防火牆WEB界麵,單擊網絡 > VPN > IPsec > 策略 > 新建。
-
對照上表中網路配置H3C防火牆IPSec策略,在保護的數據流點擊添加加入保護的興趣流,興趣流源IP和目的IP分別為IDC和阿裏雲私網地址段。
步驟二 IKE提議配置
單擊IKE提議 > 新建,配置IKE提議。協議字段需要和對應的雲端IKE協議信息匹配。
步驟三 IPSec高級配置
-
單擊網絡 > VPN > IPsec > 策略。
-
選擇剛剛新建的IPSec策略,單擊高級配置配置IPSec協議。
協議信息需要和雲端IPSec協議字段匹配。
步驟四 新建安全域
單擊策略 > 安全策略 > 新建。分別創建上行安全策略和下行安全策略:
-
從阿裏雲到線下IDC方向:
-
從線下IDC到阿裏雲方向:
步驟五 添加路由
-
單擊網絡 > 路由 > 靜態路由。
-
添加缺省路由,使出方向流量走上行接口,本例中下行接口為直連路由,無需配置:
驗證
-
打開VPN連接頁麵,查看鏈接狀態是否為第二階段協商成功。
-
登錄到雲上 VPC 內一台無公網IP的ECS實例,並執行
ping命令測試通信是否正常。
最後更新:2017-09-28 11:03:10