使用IPsec-VPN建立站点到站点的连接时,在阿里云侧完成VPN网关的配置后,您还需在本地站点的网关设备中添加VPN配置。本文以华三防火墙为例介绍如何在本地站点的网关设备中添加VPN配置。
场景示例
本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),VPC网段为192.168.10.0/24,VPC中使用云服务器ECS(Elastic Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为192.168.66.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通。
本示例涉及的网络配置详情请参见下表。
配置项 | 示例值 | |
VPC | 待和本地IDC互通的私网网段 | 192.168.10.0/24 |
VPN网关 | VPN网关公网IP地址 | 101.XX.XX.127 |
本地IDC | 待和VPC互通的私网网段 | 192.168.66.0/24 |
本地网关设备的公网IP地址 | 122.XX.XX.248 | |
本地网关设备连接公网的接口 | Reth1 | |
本地网关设备连接本地IDC的接口 | G2/0/10 |
前提条件
您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(双隧道模式)。
您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接对端配置。
本示例IPsec连接的配置如下表所示。
配置项
示例值
预共享密钥
ff123TT****
IKE配置
IKE版本
ikev1
协商模式
main
加密算法
aes
说明如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需配置为AES-CBC-128。
认证算法
sha1
DH分组
group2
SA生存周期(秒)
86400
IPsec配置
加密算法
aes
说明如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需为AES-CBC-128。
认证算法
sha1
DH分组
group2
SA生存周期(秒)
86400
开始配置
以下内容仅供参考,实际操作请以对应的厂商设备手册为准。
登录华三防火墙Web管理页面。
在左侧导航栏,选择 。在新建IPsec策略页面,根据已下载的IPsec连接的信息配置IPsec策略的基本信息。
本示例IPsec策略的基本配置如下图所示。在配置过程中,您需要在保护的数据流区域,添加需要加密传输的数据流。
数据流的源IP地址为本地IDC的私网网段192.168.66.0/24,数据流的目的IP地址为VPC的私网网段192.168.10.0/24。
在左侧导航栏,选择 ,单击新建,添加IKE配置。
本示例IKE配置如下图所示。
在左侧导航栏,选择 ,找到新建的IPsec策略,单击高级配置,添加IPsec配置。
本示例IPsec配置如下图所示。
重要阿里云VPN网关仅支持配置基于时间的SA生存时间,不支持配置基于流量的SA生存时间(VPN网关侧基于流量的SA生存时间固定为0字节)。在您使用华三防火墙时,请将基于流量的SA生存时间设置为最大值。
在左侧导航栏,选择 ,分别创建上行安全策略和下行安全策略。
上行安全策略指流量从本地IDC去往阿里云VPC方向的安全策略。本示例上行安全策略配置如下图所示。
下行安全策略指流量从阿里云VPC去往本地IDC方向的安全策略。本示例下行安全策略配置如下图所示。
在左侧导航栏,选择 。在新建IPv4静态路由页面,添加静态路由。
为本地IDC去往阿里云VPC方向的流量添加静态路由。本示例配置如下图所示。
为阿里云VPC去往本地IDC方向的流量添加静态路由。
说明本示例中为直连路由,无需配置该项。请依据您网络的实际情况添加相应的静态路由。
- 本页导读 (1)