使用IPsec-VPN建立站点到站点的连接时,在配置完阿里云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。本文以山石防火墙为例介绍如何在本地站点中加载VPN配置。

前提条件

  • 确保您已经在阿里云VPC内创建了IPsec连接,详情参见配置站点到站点连接

  • 创建IPsec连接后,获取的IPsec配置信息,详情参见IPsec连接管理

    本操作的IPsec连接配置如下表所示。

    • IPsec协议信息
      配置 示例值
      IKE 认证算法 sha1
      加密算法 aes
      DH分组 group2
      IKE版本 ikev1
      生命周期 86400
      协商模式 main
      PSK hillstone
      IPSec 认证算法 sha1
      加密算法 aes
      DH分组 group2
      IKE版本 ikev1
      生命周期 86400
      安全协议 esp
    • 网络配置信息
      配置 示例值
      VPC信息 私网CIDR 192.168.10.0/24
      网关公网IP 118.31.79.25
      IDC信息 私网CIDR 10.90.5.0/24
      网关公网IP 222.92.194.18
      上行公网网口 vlan100
      下行私网网口 E 0/3

操作步骤

  1. 登录防火墙Web页面,单击网络 > VPN > IPsecVPN > P1提议 - P1提议 > 新建
    根据阿里云VPN连接的IKE协议信息配置IDC的IKE协议。

  2. 单击P2提议 > 新建
    根据阿里云VPN连接的IPsec协议信息配置IDC的IPsec协议。

  3. 单击VPN对端列表 > 新建

    根据以下信息配置VPN对端:

    • 接口选择防火墙上出方向公网口

    • 对端IP地址填写阿里云VPN网关的公网IP地址

    • 提议为步骤一创建的p1提议

    • 预共享秘钥和阿里云侧的PSK一致。如果要打开NAT穿越,可以在高级配置中单击启用



  4. 单击IKE VPN列表 > 新建

    根据以下信息配置IKE VPN:

    • 对端选项选择步骤三创建的VPN对端

    • P2提议为步骤二创建的P2提议

    • 代理ID选择手工,并在代理ID列表中输入本地IP/掩码即本地IDC的私网网段10.90.5.0/24;在远程IP/掩码中输入为阿里云VPC的网段192.168.10.0/24,然后单击添加



  5. 单击网络 > 安全域 > 新建
    安全域名称页面,输入安全域的名称,并在 类型中选择 三层安全域

  6. 单击网络 > 接口 > 新建

    根据以下信息,配置隧道接口:

    • 接口名称中输入”tunnelX”,x的取值范围为1-512,例如tunnel5

    • 安全域选择之前创建的安全域。

    • 隧道类型选择IPSec VPN

    • VPN 名称选择之前创建的VPN。



  7. 单击策略 > 安全策略 > 新建


  8. 单击网络 > 路由 > 新建

    分别添加上行和下行路由:

    • 上行路由:目的地址为阿里云VPC的网段,下一跳为新建的隧道接口。



    • 下行路由:由于本例中防火墙下行口地址10.90.5.1/24,属于本地IDC的私网网段10.90.5.0/24,所以已经存在本地直连路由。