山石网科防火墙配置

最近更新时间：2022-12-08 16:24:01

我的收藏

本页目录：

使用 IPsec VPN 建立腾讯云 VPC 到用户 IDC 的连接时，在配置完腾讯云 VPN 网关后，您还需要在用户 IDC 本地站点的网关设备中进行 VPN 配置。本文以山石防火墙为例介绍如何在本地站点中进行 VPN 配置。
注意
本文以 SG-6000-VM01 型号、SG6000-CloudEdge-5.5R7P9 版本防火墙配置演示，其他版本可能界面略有差异，整体配置逻辑一致。
本文所有 IP、接口等参数取值均仅用于举例，请具体配置时，使用实际值进行替换。
前提条件
请确保您已经在腾讯云 VPC 内 创建 VPN，并完成 VPN 通道配置。
数据准备
本文 IPsec VPN 配置数据举例如下：
配置项
﻿
﻿
示例值
网络配置 
VPC 信息 
子网 CIDR
10.1.1.0/24 
﻿
﻿
VPN 网关公网 IP
159.xx.xx.242
﻿
IDC 信息 
内网 CIDR
172.16.0.0/16
﻿
﻿
网关公网 IP
120.xx.xx.76
IPsec 连接配置 
IKE 配置 
版本
IKEV1 
﻿
﻿
身份认证方法
预共享密钥，例如123456
﻿
﻿
加密算法
DES
﻿
﻿
认证算法
MD5
﻿
﻿
协商模式
main
﻿
﻿
本端标识
IP Address：120.xx.xx.76
﻿
﻿
远端标识
IP Address：159.xx.xx.242
﻿
﻿
DH group
DH2
﻿
﻿
IKE SA Lifetime
86400
﻿
IPsec 配置
加密算法
AES-128
﻿
﻿
认证算法
MD5
﻿
﻿
报文封装模式
Tunnel
﻿
﻿
安全协议
ESP
﻿
﻿
PFS
disable
﻿
﻿
IPsec SA 生存周期（s）
3600s
﻿
﻿
IPsec SA 生存周期（KB）
1843200KB
操作步骤
适用于基于 SPD 策略转发的 VPN
适用于基于路由转发的 VPN
1. 登录 Hillstone 防火墙 Web 界面，选择网络 > VPN > IPsec VPN > P1 提议，在 P1 提议界面，单击新建。
﻿
2. 在弹出的阶段1提议配置界面，根据腾讯云 VPN 连接的 IKE 协议信息配置 IDC 的 IKE 协议，并单击确定。
﻿
3. 选择 P2 提议页签，单击新建。
﻿
4. 在弹出的阶段2提议配置界面，根据腾讯云 VPN 连接的 IPsec 协议信息配置 IDC 的 IPsec 协议，并单击确定。
﻿
5. 选择 VPN 对端列表页签，单击新建。
﻿
6. 在弹出的 VPN 对端配
置界面，配置 VPN 对端的相关参数，并单击确定。
﻿
名称：自定义填写 VPN 对端名称，例如 TO-CLOUDVPN
对端 IP 地址：填写腾讯云 VPN 网关的公网 IP 地址
本端 IP：填写 IDC 本端的公网 IP 地址
对端 IP：填写 IDC 对端 VPN 网关的公网 IP 地址
提议1：选择 步骤2 创建的 P1 提议
预共享密钥：填写与腾讯云 VPN 通道基本配置中一致的预共享密钥，例如本例的123456
7. 选择 IKE VPN 列表页签，单击新建。
﻿
8. 在弹出的 IKE VPN 配置界面，进行 IKE VPN 的基本配置和高级配置，完成后单击确定。
基本配置
﻿
对端选项：选择 步骤6 创建的 VPN 对端
P2 提议：选择 步骤4 创建的 P2 提议
代理 ID：选择自动
高级配置：将自动连接勾选设置为启用
﻿
9. 选择网络 > 安全域，单击新建配置安全域。
﻿
10. 在弹出的安全域配置界面，配置如下参数，完成后，单击确定。
安全域名称：自定义名称，例如 VPNhub
虚拟路由器：默认选择 trust-vr
﻿
11. 选择策略 > 策略，单击新建，按照如下参数指导配置策略，完成后单击确定。
﻿
源信息：
安全域：选择 trust
地址：填写 IDC 本端网段及掩码，例如172.16.0.0/16
目的信息：
安全域：选择 VPNHub
地址：填写腾讯云 VPN 后端子网网段及掩码，例如10.1.1.0/24
服务：选择 any
动作：选择安全连接，隧道选择 步骤6 创建的 VPN 对端，例如 TO-CLOUDVPN，勾选双向 VPN 策略
1. 登录 Hillstone 防火墙 Web 界面，选择网络 > VPN > IPsec VPN > P1提议，在 P1 提议界面，单击新建。
﻿
2. 在弹出的阶段1提议配置界面，根据腾讯云 VPN 连接的 IKE 协议信息配置 IDC 的 IKE 协议，并单击确定。
﻿
3. 选择 P2 提议页签，单击新建。
﻿
4. 在弹出的阶段2提议配置界面，根据腾讯云 VPN 连接的 IPsec 协议信息配置 IDC 的 IPsec 协议，并单击确定。
﻿
5. 选择 VPN 对端列表页签，单击新建。
﻿
6. 在弹出的 VPN 对端
配置界面，配置 VPN 对端的相关参数，并单击确定。
﻿
名称：自定义填写 VPN 对端名称，例如 TO-CLOUDVPN
对端 IP 地址：填写腾讯云 VPN 网关的公网 IP 地址
本端 IP：填写 IDC 本端的公网 IP 地址
对端 IP：填写 IDC 对端 VPN 网关的公网 IP 地址
提议1：选择 步骤2 创建的 P1 提议
预共享密钥：填写与腾讯云 VPN 通道基本配置中一致的预共享密钥，例如本例的123456
7. 选择 IKE VPN 列表页签，单击新建。
﻿
8. 在弹出的 IKE VPN 配置界面，进行 IKE VPN 的基本配置和高级配置，完成后单击确定。
基本配置
﻿
对端选项：选择 步骤6 创建的 VPN 对端
P2 提议：选择 步骤4 创建的 P2 提议
代理 ID：选择手工，并在代理 ID 列表的本地 IP/掩码中输入本地 IDC 的内网网段，在远程 IP/掩码中输入腾讯云 VPC 的内网网段，然后单击添加
高级配置：将自动连接勾选设置为启用
﻿
9. 选择网络 > 安全域，单击新建 配置安全域。
﻿
10. 在弹出的安全域配置界面，配置如下参数，完成后，单击确定。
安全域名称：自定义名称，例如 VPNhub
虚拟路由器：默认选择 trust-vr
﻿
11. 选择网络 > 接口，依次单击新建 > 隧道接口 。
﻿
12. 在弹出的隧道接口对话框中，配置隧道接口相关参数。
接口名称：输入 tunnelX，X 的取值范围为1-64，例如 tunnel1
安全域：选择 步骤10 创建的安全域
隧道类型：选择 IPsec VPN
VPN 名称：选择 步骤6  创建的对端 VPN 名称 
﻿
﻿
﻿
13. 选择策略 > 策略，单击新建配置策略。
﻿
﻿
14. 选择网络 > 路由，单击新建分别配置上行和下行路由，完成后单击确定。
上行路由：目的地址为腾讯云 VPC 的网段，下一跳为 步骤12  新建的隧道接口，本例为 tunnel1。
﻿
下行路由：配置防火墙下行接口路由。
﻿

上一篇: 建立 IDC 与云上资源的连接（动态 BGP）下一篇: Juniper 防火墙配置

配置项					示例值
网络配置	VPC 信息	子网 CIDR	10.1.1.0/24
	VPC 信息			VPN 网关公网 IP	159.xx.xx.242
		IDC 信息	内网 CIDR	172.16.0.0/16
		IDC 信息		网关公网 IP	120.xx.xx.76
IPsec 连接配置	IKE 配置	版本	IKEV1
				身份认证方法	预共享密钥，例如123456
				加密算法	DES
				认证算法	MD5
				协商模式	main
				本端标识	IP Address：120.xx.xx.76
				远端标识	IP Address：159.xx.xx.242
				DH group	DH2
				IKE SA Lifetime	86400
		IPsec 配置	加密算法	AES-128
				认证算法	MD5
				报文封装模式	Tunnel
				安全协议	ESP
				PFS	disable
				IPsec SA 生存周期（s）	3600s
				IPsec SA 生存周期（KB）	1843200KB