使用IPsec-VPN建立站点到站点的连接时,在配置完阿里云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。本文以思科防火墙为例介绍如何在本地站点中加载VPN配置。
背景信息
VPC和本地IDC的网络配置如下:
配置 | 示例值 | |
---|---|---|
VPC网络配置 | vSwitch网段 | 192.168.10.0/24、192.168.11.0/24 |
VPN网关公网IP | 47.XX.XX.161 | |
本地IDC网络配置 | 私网网段 | 10.10.10.0/24 |
防火墙公网IP | 124.XX.XX.171 |
说明
- 以下内容分别展示本地网关设备(思科防火墙)使用IKEv1版本和IKEv2版本时如何添加VPN配置。您可以根据思科防火墙支持的IKE版本情况选择适合的配置。
关于如何选择IKE版本,请参见配置IPsec-VPN连接时,如何选择IKE版本?。
- 如果本地IDC侧有多个网段要与VPC互通,推荐使用IKEv2版本,且建议您在阿里云侧创建多个IPsec连接,并添加VPN网关路由。更多信息,请参见多网段配置方案推荐。
配置IKEv1 VPN
前提条件:
您已经在阿里云VPC内创建了IPsec连接。具体操作,请参见创建和管理IPsec连接(单隧道模式)。
- 您已经下载了IPsec连接的配置。具体操作,请参见下载IPsec连接配置。本操作中以下表中的配置为例。
协议 配置 示例值 IKE 认证算法 SHA-1 加密算法 AES-128 DH 分组 group2 IKE 版本 IKEv1 生命周期 86400 协商模式 main PSK 123456 IPsec 认证算法 SHA-1 加密算法 AES-128 DH 分组 group2 IKE 版本 IKEv1 生命周期 86400 协商模式 esp
- 登录防火墙设备的命令行配置界面。
- 配置isakmp策略。
crypto isakmp policy 1 authentication pre-share encryption aes hash sha group 2 lifetime 86400
- 配置预共享密钥。
crypto isakmp key 123456 address 47.XX.XX.161
- 配置IPsec安全协议。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel
- 配置ACL(访问控制列表),定义需要保护的数据流。 说明 如果本地网关设备配置了多网段,则需要分别针对多个网段添加ACL策略。
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255
- 配置IPsec策略。
crypto map ipsecpro64 10 ipsec-isakmp set peer 47.XX.XX.161 set transform-set ipsecpro64 set pfs group2 match address 100
- 应用IPsec策略。
interface g0/0 crypto map ipsecpro64
- 配置静态路由。
ip route 192.168.10.0 255.255.255.0 47.XX.XX.161 ip route 192.168.11.0 255.255.255.0 47.XX.XX.161
- 测试连通性。 您可以利用您在云中的主机和您数据中心的主机进行连通性测试。
配置IKEv2 VPN
前提条件:
已经在阿里云VPC内创建了IPsec连接。具体操作,请参见创建和管理IPsec连接(单隧道模式)。
已经下载了IPsec连接的配置。具体操作,请参见下载IPsec连接配置。本操作中以下表中的配置为例。
协议 配置 示例值 IKE 认证算法 SHA-1 加密算法 AES-128 DH 分组 group2 IKE 版本 IKEv2 生命周期 86400 PRF算法 SHA-1 PSK 123456 IPsec 认证算法 SHA-1 加密算法 AES-128 DH 分组 group2 IKE 版本 IKEv2 生命周期 86400 协商模式 esp
- 登录防火墙设备的命令行配置界面。
- 配置IKE第一阶段算法。
crypto ikev2 proposal daemon encryption aes-cbc-128 integrity sha1 group 2
- 配置IKE v2策略,并应用proposal。
crypto ikev2 policy ipsecpro64_v2 proposal daemon
- 配置预共享密钥。
crypto ikev2 keyring ipsecpro64_v2 peer vpngw address 47.XX.XX.161 pre-shared-key 0 123456
- 配置身份认证。
crypto ikev2 profile ipsecpro64_v2 match identity remote address 47.XX.XX.161 255.255.255.255 identity local address 10.10.10.1 authentication remote pre-share authentication local pre-share keyring local ipsecpro64_v2
- 配置IPsec安全协议。
crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmac mode tunnel
- 配置ACL(访问控制列表),定义需要保护的数据流。 说明 如果本地网关设备配置了多网段,则需要分别针对多个网段添加ACL策略。
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255
- 配置IPsec策略。
crypto map ipsecpro64_v2 10 ipsec-isakmp set peer 47.XX.XX.161 set transform-set ipsecpro64_v2 set pfs group2 set ikev2-profile ipsecpro64_v2 match address 100
- 应用IPsec策略。
interface g0/1 crypto map ipsecpro64_v2
- 配置静态路由。
ip route 192.168.10.0 255.255.255.0 47.XX.XX.161 ip route 192.168.11.0 255.255.255.0 47.XX.XX.161
- 测试连通性。
您可以利用您在云中的主机和您数据中心的主机进行连通性测试。