使用IPsec-VPN建立站点到站点的连接时,在配置完阿里云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。本文以华三防火墙为例介绍如何在本地站点中加载VPN配置。

前提条件

  • 确保您已经在阿里云VPC内创建了IPsec连接,详情参见建立VPC到本地数据中心的连接

  • 创建IPsec连接后,获取的IPsec配置信息,详情参见创建IPsec连接

    本操作的IPsec连接配置如下表所示。

    • IPsec协议信息
      配置 示例值
      IKE 认证算法 sha1
      加密算法 aes
      DH分组 group2
      IKE版本 ikev1
      生命周期 86400
      协商模式 main
      PSK h3c
      IPsec 认证算法 sha1
      加密算法 aes
      DH分组 group2
      IKE版本 ikev1
      生命周期 86400
    • 网络配置信息
      配置 示例值
      VPC配置 私网CIDR 192.168.10.0/24
      网关公网IP 101.xxx.xxx.127
      IDC网络配置 私网CIDR 192.168.66.0/24
      网关公网IP 122.xxx.xxx.248
      上行公网网口 Reth 1
      下行私网网口 G 2/0/10

操作步骤

  1. 登录防火墙Web页面,单击网络 > VPN > IPsec > 策略
  2. 根据阿里云VPN连接的IPsec协议信息配置IDC的H3C防火墙IPsec策略。并在保护的数据流列表中单击添加加入保护的兴趣流,兴趣流源IP和目的IP分别为IDC和阿里云VPC的网段。


  3. 单击IKE提议 > 新建
    根据阿里云VPN连接的IKE协议信息配置IDC的IKE协议。


  4. 单击网络 > VPN > IPsec > 策略
  5. 选择刚刚新建的IPsec策略,单击高级配置配置IPsec协议。
    根据阿里云VPN连接的IPsec协议信息配置IPsec协议。

  6. 单击策略 > 安全策略 > 新建,分别创建上行安全策略和下行安全策略。

    从阿里云VPC到本地IDC的安全策略配置如下图所示。

    从本地IDC到阿里云VPC的安全策略配置如下图所示。



  7. 单击网络 > 路由 > 静态路由
  8. 添加缺省路由,使出方向流量走上行接口,本例中下行接口为直连路由,无需配置。