华为USG2210和山石网科防火墙对接IPSEC VPN
华为USG2210和山石网科防火墙对接IPSEC VPN,中心端是山石防火墙SG6000-A2700,分支端使用华为USG2210防火墙。因前期用户无统一规划导致两端内网地址冲突,都是192.168.1.0/24和192.168.2.0/24两个网段ip地址。用户需求为分分支端需要访问中心端的服务器网段192.168.1.0/24的ip地址。两端都有固定公网ip地址,需要组建IPSEC VPN。
用户现有设备型号及版本如下:
山石防火墙版本:SG6000-A2700 SG6000-A-1-5.5R8
华为防火墙版本:USG2210 V300R001
服务器网段为192.168.1.0/24网段,部署在中心端山石防火墙下。
统一为用户规划中点端组建ipsec vpn的虚拟地址为10.10.0.0/24网段地址。分支端组建ipsec vpn的地址为172.17.20.0/24网段地址。分支端访问中心端的流量统一转换为172.17.20.0/24后去访问10.10.0.0/24的虚拟网段地址。然后做10.10.0.0/24对应192.168.1.0/24一对一映射。如访问10.10.0.8对应访问的真实服务器地址192.168.1.8,这样既避免了vpn两端地址冲突问题,又隐藏了真实服务器地址,同时还能保证vpn数据能正常访问。后续如果分支端有服务器业务,也可以用类似方式来配置中心端到分支端的业务。
配置介绍(省略防火墙基础配置,只列举ipsec vpn配置)
华为防火墙侧ipsec vpn配置
第一阶段配置
第二阶段配置
配置隧道路由
配置源地址转换,将访问10.10.0.0/24网段的流量转换为172.17.20.0/24网段去访问 vpn地址池为172.17.20.0/24地址
配置安全策略放行
山石防火墙配置
配置ipsec vpn 第一阶段
配置ipsec vpn 第二阶段
配置隧道路由
配置安全策略,允许对端虚拟地址172.17.20.0/24访问服务器网段10.10.0.0/24地址
配置ip映射,让分支端访问10.10.0.0/24一对一映射到服务器网段192.168.1.0/24
山石侧查看vpn连接信息
查看isakmp连接信息和ipsec sa连接信息
华为侧查看vpn连接信息
查看ike sa和ipsc sa信息
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2677.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论