虚拟专用网络 VPN-示例:Web配置华为USG防火墙:配置步骤

时间:2024-10-11 16:40:21

配置步骤

  1. IPsec基础配置

    登录防火墙管理页面,选择“网络 > IPsec”,新建IPsec连接,详情如图4所示。

    图3 新建IPsec连接1
    图4 新建IPsec连接2
    表1 新建IPsec参数设置

    参数名称

    说明

    虚拟系统

    选择默认即可。

    策略名称

    客户自行指定。

    本端接口

    配置对接本端公网IP的接口。

    本端地址

    本端公网IP。

    对端地址

    对端公网IP。

    认证方式

    预共享密钥。

    本端ID与对端ID

    IP地址,并填入对应的公网IP。

    待加密数据流

    源地址为云下子网,目标地址为云上子网,请勿使用地址组名称配置。

    安全提议

    按照华为云策略配置,要求两端配置信息一致。

    DPD

    勾选DPD,选择按需发送,配置信息默认即可。

  2. 路由配置

    选择“网络 > 路由 > 静态路由”,新建一条目的为华为云子网的静态路由,下一跳指向本地出接口网关IP。

    图5 新建静态路由
    表2 新建静态路由参数设置

    参数名称

    说明

    协议类型

    IPv4。

    源虚拟路由器

    选择默认的“public”。

    目的地址/掩码

    云端子网地址。

    目的虚拟路由器

    选择默认的“public”。

    出接口

    本端公网IP配置的接口。

    下一跳

    本端公网地址下一跳。

    其余配置默认即可,存在多出口时,需额外添加访问云端公网IP从此出接口流出的路由。

  3. NAT配置

    选择“策略 > NAT策略 > 源NAT”,新建一条本地子网访问华为云不做NAT转换的策略。

    图6 新建源NAT策略
    表3 新建源NAT策略参数设置

    参数名称

    说明

    源安全区域

    本端子网所在安全区域。

    目的区域

    华为云子网所在安全区域,一般为untrust。

    源地址

    本端子网。

    目的地址

    华为云对端子网。

    服务

    any

    转换方式

    不做NAT转换

    • 为确保该策略优先匹配,请将该策略置顶。
    • 请注意接口地址出外网不做NAT转换。

      例如已配置缺省策略:源区域为any,访问目标区域any,出口转换为接口地址。请额外添加一条NAT策略:源区域为local,目标区域为any,转换方式为不做NAT转换,并将该策略置于缺省策略之上。

  4. 安全策略配置

    选择“策略 > 安全策略 > 安全策略”,新建一条本地子网访问华为云的放行策略。

    图7 安全策略
    表4 新建策略参数设置

    参数名称

    说明

    源安全区域

    本端子网所在区域。

    源安全区域

    本端子网所在安全区域。

    目的区域

    华为云子网所在安全区域,一般为untrust。

    源地址

    本端子网。

    目的地址

    华为云对端子网。

    服务

    any。

    动作

    允许

    为确保该策略优先匹配,请将该策略置顶。

support.huaweicloud.com/admin-vpn/vpn_admin_0010.html