使用IPsec-VPN建立站点到站点的连接时,在配置完VPN网关后,您还需在本地IDC的网关设备中进行VPN配置。本文以strongSwan为例介绍如何在本地IDC的网关设备中加载VPN配置。

前提条件

  • 您已经创建了IPsec连接。具体操作,请参见建立VPC到本地数据中心的连接
  • 您已经获得IPsec连接的配置信息。具体操作,请参见下载IPsec连接配置
    本文示例中,VPN网关使用的IPsec连接配置信息如下所示:
    协议 配置 示例值
    IKE 认证算法 sha1
    加密算法 aes
    DH分组 group2
    IKE 版本 ikev1
    生命周期 86400
    协商模式 main
    预共享密钥(PSK) 123456
    IPsec 认证算法 sha1
    加密算法 aes
    DH分组 group2
    生命周期 86400

场景说明

本文以下图场景为例。本地IDC和阿里云VPC之间通过IPsec VPN互通,其中:

  • 阿里云VPC的网段是192.168.10.0/24。

  • 本地IDC的网段是172.16.2.0/24。

  • strongSwan的公网IP地址是59.XX.XX.70。

步骤一:安装strongSwan软件

  1. 运行以下命令安装strongSwan软件。
    # yum install strongswan
  2. 运行以下命令查看安装的软件版本。
    # strongswan version

步骤二:配置strongSwan

  1. 运行以下命令打开ipsec.conf配置文件。
    # vi /etc/strongswan/ipsec.conf
  2. 参考以下配置,更改ipsec.conf的配置。
    # ipsec.conf - strongSwan IPsec configuration file
    # basic configuration
     config setup
         uniqueids=never
     conn %default
         authby=psk                  #使用预共享密钥认证方式
         type=tunnel
     conn tomyidc
         keyexchange=ikev1           #IPsec连接使用的IKE协议的版本
         left=59.XX.XX.70
         leftsubnet=172.16.2.0/24    #本地IDC的网段
         leftid=59.XX.XX.70          #本地IDC网关设备的公网IP地址
         right=119.XX.XX.125
         rightsubnet=192.168.10.0/24 #VPC的网段
         rightid=119.XX.XX.125       #VPN网关的公网IP地址
         auto=route
         ike=aes-sha1-modp1024       #IPsec连接中IKE协议的加密算法-认证算法-DH分组
         ikelifetime=86400s          #IKE协议的SA生命周期
         esp=aes-sha1-modp1024       #IPsec连接中IPsec协议的加密算法-认证算法-DH分组
         lifetime=86400s             #IPsec协议的SA生命周期
         type=tunnel
  3. 配置ipsec.secrets文件。
    1. 运行以下命令打开配置文件。
      # vi /etc/strongswan/ipsec.secrets
    2. 添加如下配置。
      59.XX.XX.70 119.XX.XX.125 : PSK 123456   #123456为IPsec连接的预共享密钥,本地IDC侧和VPN网关侧的预共享密钥需一致
  4. 打开系统转发配置。
    # echo 1 > /proc/sys/net/ipv4/ip_forward

    更多场景配置示例,参见场景配置示例

  5. 执行以下命令启动strongSwan服务。
    # systemctl enable strongswan
    # systemctl start strongswan
  6. 在您本地IDC侧,设置IDC客户端到strongSwan网关及strongSwan网关到IDC客户端的路由。
说明 如果您使用strongSwan建立了3条(不包含3条)以上的IPsec连接,您需要修改/etc/strongswan/strongswan.d/charon.conf中的配置:您需要删除max_ikev1_exchanges = 3 命令前的注释符号,启用此命令,并修改命令中参数的值大于您建立的IPsec连接数。

例如:您使用strongSwan建立了4条IPsec连接,您可以修改该命令为max_ikev1_exchanges = 5