strongSwan配置

前提条件

• 您已经创建了IPsec连接。具体操作，请参见建立VPC到本地数据中心的连接。
• 您已经获得IPsec连接的配置信息。具体操作，请参见下载IPsec连接配置。
  本文示例中，VPN网关使用的IPsec连接配置信息如下所示：

  协议	配置	示例值
  IKE	认证算法	sha1
  	加密算法	aes
  	DH分组	group2
  	IKE 版本	ikev1
  	生命周期	86400
  	协商模式	main
  	预共享密钥（PSK）	123456
  IPsec	认证算法	sha1
  	加密算法	aes
  	DH分组	group2
  	生命周期	86400

场景说明

本文以下图场景为例。本地IDC和阿里云VPC之间通过IPsec VPN互通，其中：

• 阿里云VPC的网段是192.168.10.0/24。

• 本地IDC的网段是172.16.2.0/24。

• strongSwan的公网IP地址是59.XX.XX.70。

步骤一：安装strongSwan软件

1. 运行以下命令安装strongSwan软件。

   # yum install strongswan

2. 运行以下命令查看安装的软件版本。

   # strongswan version

步骤二：配置strongSwan

1. 运行以下命令打开ipsec.conf配置文件。

   # vi /etc/strongswan/ipsec.conf

2. 参考以下配置，更改ipsec.conf的配置。

   # ipsec.conf - strongSwan IPsec configuration file
   # basic configuration
    config setup
        uniqueids=never
    conn %default
        authby=psk                  #使用预共享密钥认证方式
        type=tunnel
    conn tomyidc
        keyexchange=ikev1           #IPsec连接使用的IKE协议的版本
        left=59.XX.XX.70
        leftsubnet=172.16.2.0/24    #本地IDC的网段
        leftid=59.XX.XX.70          #本地IDC网关设备的公网IP地址
        right=119.XX.XX.125
        rightsubnet=192.168.10.0/24 #VPC的网段
        rightid=119.XX.XX.125       #VPN网关的公网IP地址
        auto=route
        ike=aes-sha1-modp1024       #IPsec连接中IKE协议的加密算法-认证算法-DH分组
        ikelifetime=86400s          #IKE协议的SA生命周期
        esp=aes-sha1-modp1024       #IPsec连接中IPsec协议的加密算法-认证算法-DH分组
        lifetime=86400s             #IPsec协议的SA生命周期
        type=tunnel

3. 配置ipsec.secrets文件。
   1. 运行以下命令打开配置文件。

      # vi /etc/strongswan/ipsec.secrets

   2. 添加如下配置。

      59.XX.XX.70 119.XX.XX.125 : PSK 123456   #123456为IPsec连接的预共享密钥，本地IDC侧和VPN网关侧的预共享密钥需一致

4. 打开系统转发配置。

   # echo 1 > /proc/sys/net/ipv4/ip_forward

   更多场景配置示例，参见场景配置示例。

5. 执行以下命令启动strongSwan服务。

   # systemctl enable strongswan
   # systemctl start strongswan

6. 在您本地IDC侧，设置IDC客户端到strongSwan网关及strongSwan网关到IDC客户端的路由。