使用IPsec-VPN建立站点到站点的连接时,在配置完阿里云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。本文以深信服防火墙为例介绍如何在本地站点中加载VPN配置。

前提条件

  • 已经在阿里云VPC内创建了IPsec连接。详细说明,请参见创建IPsec连接

  • 已经下载了IPsec连接的配置。详细说明,请参见下载IPsec连接配置

    本操作的IPsec连接配置如下表所示。

    表 1. IPsec协议信息
    配置 示例值
    IKE 认证算法 md5
    加密算法 3des
    DH分组 group2
    IKE版本 IKE v1
    生命周期 28800
    协商模式 aggressive
    PSK 123456
    IPsec 认证算法 md5
    加密算法 des
    DH分组 group2
    IKE版本 IKE v1
    生命周期 28800
    表 2. 网络配置信息
    配置 示例值
    VPC配置 私网CIDR 192.168.1.0/24
    网关公网IP 47.xxx.xxx.56
    IDC网络配置 私网CIDR 192.168.18.0/24
    网关公网IP 122.xxx.xxx.248

操作步骤

  1. 登录深信服防火墙的Web页面,单击VPN配置 > 第三方对接 > 第一阶段 ,然后单击新增
    根据阿里云VPN连接的IKE协议信息配置IDC的第一阶段。
    配置 说明
    设备名称 自定义设备名称。
    描述 输入描述信息。
    线路出口 选择IPsec隧道出口。
    设备地址类型 选择对端是固定IP。
    固定IP 输入VPC侧公网IP,本示例为47.xxx.xxx.56。
    认证方式 选择预共享密钥。
    预共享密钥 输入预共享密钥,本示例为123456。
    确认密钥 再次输入预共享密钥。
    高级
    ISAKMP存活时间(秒) 输入ISAKMP存活时间,本示例为28800。
    重试次数 输入重新发起IPsec连接的次数。
    支持模式 选择野蛮模式。
    D-H群 本示例选择MOOP 1024群(2)。
    身份类型 选择验证身份的类型,本示例选择IPv4地址(IPv4 ADDR)。
    我方身份ID 输入本端公网IP地址,本示例为122.xxx.xxx.248。
    对方身份ID 输入VPC端公网IP地址,本示例47.xxx.xxx.56。
    启用NAT穿透 本示例选择启用NAT穿透。
    认证算法 选择认证算法,本示例为MD5。
    加密算法 选择加密算法,本示例为3DES。
  2. 单击VPN配置 > 第三方对接 > 第二阶段,然后单击入站策略
    根据网络配置信息,配置IDC的入站策略。
    配置 说明
    策略名称 自定义策略名称。
    描述 输入描述信息。
    源IP类型 选择源IP的类型,本示例为子网+掩码。
    子网 输入VPC侧的子网,本示例为192.168.1.0。
    掩码 输入VPC侧的掩码,本示例为255.255.255.0。
    对端设备 选择第一阶段配置设备名称。
    入站服务 选择允许开放的服务。
    生效时间 选择策略生效的时间。
  3. 单击VPN配置 > 第三方对接 > 第二阶段,然后单击出站策略
    根据网络配置信息,配置IDC的出站策略。
    配置 说明
    策略名称 自定义策略名称。
    描述 输入描述信息。
    源IP类型 选择源IP的类型,本示例为子网+掩码。
    子网 输入本端子网,本示例为192.168.18.0。
    掩码 输入本端的掩码,本示例为255.255.255.0。
    对端设备 选择第一阶段配置设备名称。
    出站服务 选择允许开放的服务。
    安全选项 选择安全选项,本示例为默认安全选项。
    生效时间 选择策略生效的时间。
  4. 单击VPN配置 > 第三方对接 > 安全选项
    根据阿里云VPN连接的IPsec协议信息配置IDC的安全选项。
    配置 说明
    名称 自定义名称。
    描述 输入描述信息。
    协议 选择第二阶段认证协议,本示例为ESP。
    认证算法 选择第二阶段认证算法,本示例为MD5。
    加密算法 选择第二阶段加密算法,本示例为DES。