使用IPsec-VPN建立站点到站点的连接时,在配置完阿里云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。

阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和云上VPN网关互连,比如华为、华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM 和 Ixia等。

本文以华为防火墙为例介绍如何在本地站点中加载VPN配置:
配置 示例值
VPC网络配置 VSwitch网段 192.168.10.0/24、192.168.11.0/24
VPN网关公网IP 47.xx.xx.10
本地IDC网络配置 私网网段 10.10.10.0/24
防火墙公网IP 124.xx.xx.215/26
上行公网网口 10GE1/0/0
下行私网网口 10GE1/0/1
说明 如果本地IDC侧有多个网段要与VPC互通,建议您在阿里云侧创建多个IPsec连接,并添加VPN网关路由。

配置IKEv1 VPN

前提条件

  • 已经在阿里云VPC内创建了IPsec连接,详情参见IPsec连接管理

  • 已经在阿里云VPC管理控制台下载的IPsec连接的配置,本操作中以下表中的配置为例。
    协议 配置 示例值
    IKE 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v1
    生命周期 86400
    协商模式 main
    PSK 123456
    IPsec 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v1
    生命周期 86400
    协商模式 esp
操作步骤

完成以下操作,在华为防火墙中加载用户网关的配置:

  1. 登录防火墙管理页面,单击网络 > 接口 > 接口列表。将上行公网网口10GE1/0/0加入untrust安全区域,并配置公网IP;将下行公网网口10GE1/0/1加入trust安全区域,并置私网IP,如下图所示。


  2. 单击策略 > 安全策略 > 新建,创建安全策略。


  3. 单击网络 > IPsec > IPsec 策略列表 > 新建,参考以下信息配置VPN对端:

    • 本端接口: 选择防火墙上行公网网口,本操作中选择10GE1/0/0。

    • 对端地址: 填写阿里云VPN网关的公网IP地址,本操作中输入47.xx.xx.10。

    • 预共享密钥 和阿里云侧的PSK一致,本操作中输入123456。



  4. 待加密的数据流页面,单击新建。参考以下信息,为VPC中所有交换机网段添加待加密数据流:

    • 源地址/地址组: 输入本地IDC的私网网段,本操作中输入10.10.10.0/24。

    • 目的地址/地址组: 输入VPC的交换机网段,本操作中分别输入192.168.10.0/24和192.168.11.0/24。



  5. 安全提议页面,单击高级。根据您下载的IPsec连接的配置,配置IKE协议参数。


  6. IPsec参数页面,根据您下载的IPsec连接的配置,配置IPsec协议参数。


  7. 单击网络 > 路由 > 静态路由 > 静态路由列表 > 新建,为防火墙配置静态路由。其中,添加默认路由时,下一条为防火墙的公网IP;添加指向VPC的路由时,下一跳为VPN网关的公网IP。

配置IKEv2 VPN

前提条件

  • 已经在阿里云VPC内创建了IPsec连接。

  • 已经在阿里云VPC管理控制台下载的IPsec连接的配置,本操作中以下表中的配置为例。

    协议 配置 示例值
    IKE 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v2
    生命周期 86400
    PRF算法 SHA-1
    PSK 123456
    IPsec 认证算法 SHA-1
    加密算法 AES-128
    DH 分组 group 2
    IKE 版本 IKE v2
    生命周期 86400
    协商模式 esp

操作步骤

完成以下操作,在华为防火墙中加载用户网关的配置。

  1. 登录防火墙管理页面,单击网络 > 接口 > 接口列表。将上行公网网口10GE1/0/0加入untrust安全区域,并配置公网IP;将下行公网网口10GE1/0/1加入trust安全区域,并置私网IP,如下图所示。


  2. 单击策略 > 安全策略 > 新建,创建安全策略。


  3. 单击网络 > IPsec > IPsec 策略列表 > 新建,参考以下信息配置VPN对端。

    • 本端接口: 选择防火墙上行公网网口,本操作中选择10GE1/0/0。

    • 对端地址: 填写阿里云VPN网关的公网IP地址,本操作中输入47.xx.xx.10。

    • 预共享密钥 和阿里云侧的PSK一致,本操作中输入123456。



  4. 待加密的数据流页面,单击新建。参考以下信息,为VPC中所有交换机网段添加待加密数据流:

    • 源地址/地址组: 输入本地IDC的私网网段,本操作中输入10.10.10.0/24。

    • 目的地址/地址组: 输入VPC的交换机网段,本操作中分别输入192.168.10.0/24和192.168.11.0/24。



  5. 安全提议页面,单击高级。根据您下载的IPsec连接的配置,配置IKE协议参数。


  6. IPsec参数页面,根据您下载的IPsec连接的配置,配置IPsec协议参数。


  7. 单击网络 > 路由 > 静态路由 > 静态路由列表 > 新建,为防火墙配置静态路由。其中,添加默认路由时,下一条为防火墙的公网IP;添加指向VPC的路由时,一下跳为VPN网关的公网IP。