使用IPsec-VPN建立站点到站点的连接时,在阿里云侧完成VPN网关的配置后,您还需在本地站点的网关设备中添加VPN配置。本文以华三防火墙为例介绍如何在本地站点的网关设备中添加VPN配置。
场景示例
本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),VPC网段为192.168.10.0/24,VPC中使用云服务器ECS(Elastic
Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为192.168.66.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通。
本示例涉及的网络配置详情请参见下表。
| 配置项 | 示例值 | |
|---|---|---|
| VPC | 待和本地IDC互通的私网网段 | 192.168.10.0/24 |
| VPN网关 | VPN网关公网IP地址 | 101.XX.XX.127 |
| 本地IDC | 待和VPC互通的私网网段 | 192.168.66.0/24 |
| 本地网关设备的公网IP地址 | 122.XX.XX.248 | |
| 本地网关设备连接公网的接口 | Reth1 | |
| 本地网关设备连接本地IDC的接口 | G2/0/10 | |
前提条件
- 您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接。
- 您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置。
本示例IPsec连接的配置如下表所示。
配置项 示例值 预共享密钥 ff123TT**** IKE配置 IKE版本 ikev1 协商模式 main 加密算法 aes 说明 如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需配置为AES-CBC-128。认证算法 sha1 DH分组 group2 SA生存周期(秒) 86400 IPsec配置 加密算法 aes 说明 如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需为AES-CBC-128。认证算法 sha1 DH分组 group2 SA生存周期(秒) 86400
开始配置
说明 以下内容仅供参考,实际操作请以对应的厂商设备手册为准。
- 在左侧导航栏,选择。在新建IPsec策略页面,根据已下载的IPsec连接的信息配置IPsec策略的基本信息。本示例IPsec策略的基本配置如下图所示。在配置过程中,您需要在保护的数据流区域,添加需要加密传输的数据流。
数据流的源IP地址为本地IDC的私网网段192.168.66.0/24,数据流的目的IP地址为VPC的私网网段192.168.10.0/24。
- 在左侧导航栏,选择,单击新建,添加IKE配置。本示例IKE配置如下图所示。
- 在左侧导航栏,选择,找到新建的IPsec策略,单击高级配置,添加IPsec配置。本示例IPsec配置如下图所示。
- 在左侧导航栏,选择,分别创建上行安全策略和下行安全策略。
- 上行安全策略指流量从本地IDC去往阿里云VPC方向的安全策略。本示例上行安全策略配置如下图所示。
- 下行安全策略指流量从阿里云VPC去往本地IDC方向的安全策略。本示例下行安全策略配置如下图所示。
- 上行安全策略指流量从本地IDC去往阿里云VPC方向的安全策略。本示例上行安全策略配置如下图所示。
- 在左侧导航栏,选择。在新建IPv4静态路由页面,添加静态路由。
- 为本地IDC去往阿里云VPC方向的流量添加静态路由。本示例配置如下图所示。
- 为阿里云VPC去往本地IDC方向的流量添加静态路由。
说明 本示例中为直连路由,无需配置该项。请依据您网络的实际情况添加相应的静态路由。
- 为本地IDC去往阿里云VPC方向的流量添加静态路由。本示例配置如下图所示。