使用IPsec-VPN建立站点到站点的连接时,在配置完阿里云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。
阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和云上VPN网关互连,例如华为、华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM 和 Ixia等。
配置 | 示例值 | |
---|---|---|
VPC网络配置 | vSwitch网段 | 192.168.10.0/24、192.168.11.0/24 |
VPN网关公网IP | 47.xx.xx.10 | |
本地IDC网络配置 | 私网网段 | 10.10.10.0/24 |
防火墙公网IP | 124.xx.xx.215/26 | |
上行公网网口 | 10GE1/0/0 | |
下行私网网口 | 10GE1/0/1 |
配置IKEv1 VPN
-
已经在阿里云VPC内创建了IPsec连接,详情参见创建IPsec连接。
-
已经在阿里云VPC管理控制台下载的IPsec连接的配置,本操作中以下表中的配置为例。
协议 配置 示例值 IKE 认证算法 SHA-1 加密算法 AES-128 DH 分组 group 2 IKE 版本 IKE v1 生命周期 86400 协商模式 main PSK 123456 IPsec 认证算法 SHA-1 加密算法 AES-128 DH 分组 group 2 IKE 版本 IKE v1 生命周期 86400 协商模式 esp
完成以下操作,在华为防火墙中加载用户网关的配置:
- 登录防火墙管理页面,选择untrust安全区域,并配置公网IP;将下行公网网口10GE1/0/1加入trust安全区域,并置私网IP,如下图所示。
- 选择
- 选择
-
本端接口: 选择防火墙上行公网网口,本操作中选择10GE1/0/0。
-
对端地址: 填写阿里云VPN网关的公网IP地址,本操作中输入47.xx.xx.10。
-
预共享密钥和阿里云侧的PSK一致,本操作中输入123456。
,参考以下信息配置VPN对端:
-
- 在待加密的数据流页面,单击新建。参考以下信息,为VPC中所有交换机网段添加待加密数据流:
-
源地址/地址组: 输入本地IDC的私网网段,本操作中输入10.10.10.0/24。
-
目的地址/地址组: 输入VPC的交换机网段,本操作中分别输入192.168.10.0/24和192.168.11.0/24。
-
- 在安全提议页面,单击高级。根据您下载的IPsec连接的配置,配置IKE协议参数。
- 在IPsec参数页面,根据您下载的IPsec连接的配置,配置IPsec协议参数。
- 选择 ,为防火墙配置静态路由。其中,添加默认路由时,下一跳为防火墙的公网IP;添加指向VPC的路由时,下一跳为VPN网关的公网IP。
配置IKEv2 VPN
-
已经在阿里云VPC内创建了IPsec连接。
-
已经在阿里云VPC管理控制台下载的IPsec连接的配置,本操作中以下表中的配置为例。
协议 配置 示例值 IKE 认证算法 SHA-1 加密算法 AES-128 DH 分组 group 2 IKE 版本 IKE v2 生命周期 86400 PRF算法 SHA-1 PSK 123456 IPsec 认证算法 SHA-1 加密算法 AES-128 DH 分组 group 2 IKE 版本 IKE v2 生命周期 86400 协商模式 esp
操作步骤
完成以下操作,在华为防火墙中加载用户网关的配置。
- 登录防火墙管理页面,选择untrust安全区域,并配置公网IP;将下行公网网口10GE1/0/1加入trust安全区域,并置私网IP,如下图所示。
- 选择
- 选择
-
本端接口: 选择防火墙上行公网网口,本操作中选择10GE1/0/0。
-
对端地址: 填写阿里云VPN网关的公网IP地址,本操作中输入47.xx.xx.10。
-
预共享密钥和阿里云侧的PSK一致,本操作中输入123456。
,参考以下信息配置VPN对端。
-
- 在待加密的数据流页面,单击新建。参考以下信息,为VPC中所有交换机网段添加待加密数据流:
-
源地址/地址组: 输入本地IDC的私网网段,本操作中输入10.10.10.0/24。
-
目的地址/地址组: 输入VPC的交换机网段,本操作中分别输入192.168.10.0/24和192.168.11.0/24。
-
- 在安全提议页面,单击高级。根据您下载的IPsec连接的配置,配置IKE协议参数。
- 在IPsec参数页面,根据您下载的IPsec连接的配置,配置IPsec协议参数。
- 选择 ,为防火墙配置静态路由。其中,添加默认路由时,下一跳为防火墙的公网IP;添加指向VPC的路由时,下一跳为VPN网关的公网IP。