操作场景

通过执行该操作，您可以创建VPN，以便在您的数据中心与天翼云VPC之间建立一条保密而安全的通信隧道。

前提条件

• 请确认虚拟私有云VPC已经创建完成。
• 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。

操作步骤

1. 登录管理控制台。
2. 在管理控制台上方选择区域和项目。
3. 在系统首页，单击“网络 > 虚拟专用网络”。
4. 在“虚拟专用网络”界面，单击“购买VPN”。
5. 根据界面提示配置参数，并单击“立即购买”。
6. 提交申请。
   创建成功后云为该IPsec VPN分配一个公网出口IP地址。该地址为VPN页面中，已创建的VPN的本端网关地址。在您自己数据中心配置对端隧道时，远端网关需要配置为该IP地址。
7. 因为隧道的对称性，还需要在您自己数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。

                    
说明
                    
IKE策略指定了IPsec 隧道在协商阶段的加密和认证算法，IPsec策略指定了IPsec在数据传输阶段所使用的协议，加密以及认证算法；这些参数在VPC上的VPN和您数据中心的VPN中需要进行相同的配置，否则会导致VPN无法建立连接。
以下算法安全性较低，请慎用：
认证算法：SHA1、MD5。
加密算法：3DES。
DH算法：Group 1、Group 2、Group 5。


                    
                  
                  

配置对端设备

配置对端设备可参见以下示例，帮助您配置本地的VPN设备，实现您本地网络与天翼云VPC子网的互联互通。

示例：HUAWEI USG6600配置

本章节以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。

假设数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，VPC上IPsec隧道的出口公网IP为1.1.1.1（从VPC上IPsec VPN的本端网关参数上获取）。

配置步骤

1. 登录防火墙设备的命令行配置界面。

2. 查看防火墙版本信息。

   display version

   17:20:502017/03/09

   Huawei Versatile Security Platform Software

   Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30)

3. 创建ACL并绑定到对应的vpn-instance。

   acl number 3065 vpn-instance vpn64

   rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

   rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

   rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

   rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

   q

4. 创建ike proposal。

   ike proposal 64

   dh group5

   authentication-algorithm sha1

   integrity-algorithm hmac-sha2-256

   sa duration 3600

   q

5. 创建ike peer，并引用之前创建的ike proposal，其中对端IP地址是1.1.1.1。

   ike peer vpnikepeer_64

   pre-shared-key ******** （********为您输入的预共享密码）

   ike-proposal 64

   undo version 2

   remote-address vpn-instance vpn64 1.1.1.1

   sa binding vpn-instance vpn64

   q

6. 创建IPsec协议。

   IPsec proposal IPsecpro64

   encapsulation-mode tunnel

   esp authentication-algorithm sha1

   q

7. 创建IPsec策略，并引用ike policy和IPsec proposal。

   IPsec policy vpnIPsec64 1 isakmp

   security acl 3065

   pfs dh-group5

   ike-peer vpnikepeer_64

   proposal IPsecpro64

   local-address xx.xx.xx.xx

   q

8. 将IPsec策略应用到相应的子接口上。
   interface GigabitEthernet0/0/2.64

   IPsec policy vpnIPsec64

   q

9. 测试连通性。

   在上述配置完成后，我们可以利用您在云中的云主机和您数据中心的主机进行连通性测试。