使用IPsec-VPN建立站点到站点的连接时,在阿里云侧完成VPN网关的配置后,您还需在本地站点的网关设备中添加VPN配置。本文以华三防火墙为例介绍如何在本地站点的网关设备中添加VPN配置。

场景示例

华三配置场景示例本文以上图场景为例。某公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),VPC网段为192.168.10.0/24,VPC中使用云服务器ECS(Elastic Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为192.168.66.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通。
本示例涉及的网络配置详情请参见下表。
配置项 示例值
VPC 待和本地IDC互通的私网网段 192.168.10.0/24
VPN网关 VPN网关公网IP地址 101.XX.XX.127
本地IDC 待和VPC互通的私网网段 192.168.66.0/24
本地网关设备的公网IP地址 122.XX.XX.248
本地网关设备连接公网的接口 Reth1
本地网关设备连接本地IDC的接口 G2/0/10

前提条件

  • 您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接
  • 您已下载IPsec连接的配置。具体操作,请参见下载IPsec连接配置
    本示例IPsec连接的配置如下表所示。
    配置项 示例值
    预共享密钥 ff123TT****
    IKE配置 IKE版本 ikev1
    协商模式 main
    加密算法 aes
    说明 如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需配置为AES-CBC-128。
    认证算法 sha1
    DH分组 group2
    SA生存周期(秒) 86400
    IPsec配置 加密算法 aes
    说明 如果IPsec连接的加密算法为aes,则华三防火墙设备的加密算法需为AES-CBC-128。
    认证算法 sha1
    DH分组 group2
    SA生存周期(秒) 86400

开始配置

说明 以下内容仅供参考,实际操作请以对应的厂商设备手册为准。
  1. 登录华三防火墙Web管理页面。
  2. 在左侧导航栏,选择网络 > VPN > IPsec > 策略。在新建IPsec策略页面,根据已下载的IPsec连接的信息配置IPsec策略的基本信息。
    本示例IPsec策略的基本配置如下图所示。在配置过程中,您需要在保护的数据流区域,添加需要加密传输的数据流。

    数据流的源IP地址为本地IDC的私网网段192.168.66.0/24,数据流的目的IP地址为VPC的私网网段192.168.10.0/24。

    基本信息
  3. 在左侧导航栏,选择网络 > VPN > IPsec > IKE提议,单击新建,添加IKE配置。
    本示例IKE配置如下图所示。IKE配置
  4. 在左侧导航栏,选择网络 > VPN > IPsec > 策略,找到新建的IPsec策略,单击高级配置,添加IPsec配置。
    本示例IPsec配置如下图所示。IPsec配置
  5. 在左侧导航栏,选择网络 > VPN > IPsec > 策略 > 安全策略 > 新建,分别创建上行安全策略和下行安全策略。
    • 上行安全策略指流量从本地IDC去往阿里云VPC方向的安全策略。本示例上行安全策略配置如下图所示。上行安全策略
    • 下行安全策略指流量从阿里云VPC去往本地IDC方向的安全策略。本示例下行安全策略配置如下图所示。下行安全策略
  6. 在左侧导航栏,选择网络 > 路由 > 静态路由。在新建IPv4静态路由页面,添加静态路由。
    • 为本地IDC去往阿里云VPC方向的流量添加静态路由。本示例配置如下图所示。静态路由
    • 为阿里云VPC去往本地IDC方向的流量添加静态路由。
      说明 本示例中为直连路由,无需配置该项。请依据您网络的实际情况添加相应的静态路由。