工控网首页
>

应用设计

>

IPsec VPN构建指南

IPsec VPN构建指南

2022/12/13 17:33:40

一、网络拓扑

在防火墙与ORC305之间建立一个安全隧道,对客户路由器端设备子网(192.168.2.0/24),与防火墙端服务器子网(172.16.99.0/24)之间的数据流进行安全保护。安全协议采用ESP,加密算法采用3DES,认证算法采用MD5,组网拓扑图如图所示。

111.png

二、H3C SECPATH U200-A端配置指导

(此处以多数客户使用专线上网形式为例)

1、前提准备工作配置IPSec VPN时应保证该通过该设备已经可以正常上网,WAN,LAN,NAT等正常工作,如下图GigabitEthernet 0/1为WAN公网IP X.X.X.242,GigabitEthernet 0/4为LAN,IP为172.x.x.x/24

1.png

Interface所属安全域

2.png

2、感兴趣流的ACL添加以及配置在设备中存在ACL3000和3004,该ACL是被NAT所调用,我们需要创建一条现场为192.168.2.0/24(目的网络)网段与H3C内外网段172.22.12.0/24(源网络)的ACL进行配置,如下新建ALC3010。以源网络到目的网络的IP数据流为感兴趣流。防火墙-ACL-新建

3.png

防火墙-ACL-新建-3010

4.png

防火墙-ACL-3010-操作

5.png

防火墙-ACL-3010-操作-新建:在ALC 3010中添加规则ID 100,匹配(permit)源网络至目的网络的的数据流,源网络为H3C其中的一个LAN172.22.12.0/24,目的网络为现场LAN 192.168.2.0/24。

6.png

6.1.png

3、在原有配置的NAT中排感兴趣流防火墙-ACL-3000-操作-新建:新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。

7.png

防火墙-ACL-3004-操作-新建:新建一个ID号小于1000和2000的ID例如100,阻止(deny),感兴趣流通过NAT。

8.png

4、创建IKE 4.1 VPN-IKE-对等体-新建

9.png

对等体名称:test-1(自定义)协商模式:Aggressive(主动模式或野蛮模式)对端网关-主机名:test1对端ID:test1(FQDN,由于现场路由器拨号获得的是动态私网IP,所以使用FQDN来进行对每个对等体进行识别,每次新建ID不可以重复)启用DPD功能:打钩选择下面配置的DPD策略号10启用NAT穿越:打勾预共享秘钥:abc123(自定义)

10.png

4.2 VPN-IKE-安全提议-新建IKE安全提议号10认证方法:Preshared Key认证算法:MD5加密算法:3DES-CBC DH组:Group2 SA生存周期:86400秒(下图只是例图)

11.png

4.3 VPN-IKE-DPD(DPD Dead Peer Detection)VPN-IKE-DPD新建DPD名称:10触发DPD时间间隔:60s等待DPD现有报文时:60s(下图只是例图)

12.png

5、IPSec 5.1 IPSec安全提议IPSec安全提议名:10报文封装模式:tunnel ESP认证算法:MD5 ESP加密算法:3des

13.png

5.2创建IPSec模板配置模板名称:test-1(自定义)IKE对等体:test-1(之前已经定义的IKE)安全提议:10 PFS:“选择空”(与截图不符注意)ACL:3010

14.png

14.1.png

5.3调用IPSec模板配置IPSec-应用-G0/1-操作调用策略:test-1

15.png

6、Policy防火墙-安全策略-域间策略-新建:源域:untunst目的域:trust策略规则:10源IP:192.168.2.0 0.0.0.255(与图中不符注意)目的IP:172.22.12.0 0.0.0.0255(与图中不符注意)

16.png

16.1.png

三、ORC305路由器端配置指导

1、将SIM卡插入路由器卡槽

2、给设备上电,登入路由器web页面(默认为192.168.2.1)

3、进入网络→接口→连链路备份界面启用对应SIM卡并上调链路优先级,保存配置

17.png

4、对应SIM卡拨号成功,当前链路变为绿色

5、进入网络→VPN→IPsec界面进行路由器(IPsec VPN客户端)配置

18.png

18.1.png

18.2.png

保存并应用配置后即可进入状态→VPN页面看到IPsec VPN状态为已连接

19.png

审核编辑(
王静
)
投诉建议

提交

查看更多评论
其他资讯

查看更多

矿山边坡综合在线监测-全方位解决方案

智慧集中供冷,未来空调技术的新趋势

智慧养殖远程管理在线监测系统解决方案

DTU凭什么可以为数据提供稳定地传输?

光伏系统远程维护解决方案