ipsec不作多介绍,直接上配置步骤。

与前面文章中路由模式的ipsec不一样,其实个人理解来看,通俗理解如下:


策略模式的***,方便,步骤简单。快!不易于扩展,比如那种多分支site的访问等等。

路由模式的***,步骤稍复杂,基于tunnel做。受制于设备的参数支持,扩展性好。


经历了不下于50台山石网科的防火墙的应用组网和设备运维后,俩者均有特点,还是要视客户的具体网络需求去定制。千万记住,不可装X,只推荐路由或者只推荐策略,用户会觉得你不专业。


好了,闲话少说,直接上菜。


防火墙系统是5.0版本的。


1.建立隧道

 首先,登陆hillstone防火墙,点选左侧ipsec-***,然后点新建;

wKioL1b2EqPzKcCdAAI7k_7I5qw116.jpg



2.在如下的界面进行第一阶段IKE ×××的配置,界面如下:

wKiom1b2Elix6-a1AAEzLx2ZwEw763.jpg



3.点击高级配置里,如存在nat穿越,勾选nat穿越,以及对端存活监测

wKioL1b2E7nAeZQxAADNJ3a8RTY528.jpg


4.点击第二阶段,配置第二阶段协商参数、隧道模式(代理ID,这里是俩端设备都是山石所以选择自动,若对端不是山石,需要手动指定,在往后的文章中聊)

wKioL1b2FE6BWTlGAADDYn86SS4136.jpg


5.接着配置高级参数,默认勾选上自动连接即可,(***隧道检测,至于为什么,往后聊)

wKioL1b2FPXgO1npAADTmOYfkeg511.jpg


6.到这里ipsec的配置完成,可以查看下ipsec状态,如果按照上面的配置下来,这里理论是隧道状态就起来了。

wKioL1b2FkzzxfZ8AACaQDuzG4I275.jpg


7.我们这一篇聊的是hillstone-ipsec策略配置方法。所以去策略界面配置策略。

wKioL1b2FvPCLuo6AAGIG5ulwzI604.jpg



8.在配置界面进行如下图配置,选择双向配置,并且注意策略要置顶,(这个与juniper-SSG习惯是一样的)

wKiom1b2F72g0srsAAFyiZiq4LY444.jpg


置顶方法,也一笔带一下。毕竟咱是专业的。

wKiom1b2GGyQZiZhAAF-0wi2CHY276.jpg


然后这个时候,策略也放行,ipsec-***也建立成功。大家就应该可以在俩端内网互ping了,但是仍然ping不通,,大家莫慌。


在我们前面介绍的路由模式中,是不是有一个配置tunnel接口路由的步骤。所以这里的策略模式的***,就不能配置路由了,但是需要将本地到对端的内网流量进行不转换指定。(这里跟很多出口(思科、H3C、华为)路由设备配置了ipsec-***)的道理其实是一样。


需要做一次“源不转换”的配置。


9,配置源不转换(snat)

wKiom1b2GV2CI5DyAAFzJ7cve40735.jpg


10.在弹出的窗口中,进行如下配置,保证隧道内网流量不会被转换公网出接口ip地址,服务不选择,默认是any,同时注意这个snat的规则一定要置顶,不然规则不生效,仍然ping不通对端内网。

wKiom1b2GZmwzHG6AAGNA0GaB4w626.jpg


11.到这里hillstone-ipsec***策略模式的配置步骤就全部结束。写在最后,


调试注意地方:


①看看流量是否有匹配到隧道,检查策略的命中数,如下图:

wKiom1b2GkjQpxKcAABa_DxsT6w891.jpg


②注意检查snat的规则是否置顶,前面也说了,再唠叨一次。一定要注意这个

wKiom1b2GqCxPED8AABxQFRpAz4840.jpg


好了,到这里此篇文章介绍就全部结束。

山石网科的策略和路由模式的ipsec配置方法也全部介绍完了。欢迎各位路过大拿指导,拍砖!