使用IPsec VPN建立站点到站点的连接时,在配置完天翼云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。
前提条件
- 已经在天翼云VPC内创建了IPsec连接。
- 已经下载了IPsec连接的配置。
IPsec协议信息
配置项 示例值 IKE
认证算法
SHA256
加密算法
3DES
DH分组
Group2
IKE版本
IKEv1
生命周期
86400
协商模式
main
PSK
aa123bb****
IPsec 认证算法
SHA256
加密算法
3DES
PFS
DH group2
生命周期
3600
网络配置信息
| 配置项 | 示例值 |
|---|---|
| VPC | 待和本地IDC互通的私网网段。 |
| VPN网关 | 天翼云VPN网关的公网IP地址。 |
| 本地IDC | 待和天翼云VPC互通的私网网段。 |
| 本地IDC | 本地网关设备的公网IP地址。 |
操作步骤
按照以下操作,在Juniper防火墙中加载用户网关的配置。
- 登录防火墙设备的命令行配置界面。
- 配置基本网络、安全域和地址簿信息。
Set security zones security-zone trust address-book address net-cfgr_192-168-18-0--24 192.168.18.0/24
set security zones security-zone vpn address-book address net-cfgr_192-168-1-0--24 192.168.1.0/24
- 配置IKE策略。
set security ike policy ike-policy-cfgr mode main
set security ike policy ike-policy-cfgr pre-shared-key ascii-text "aa123bb****"
- 配置IKE网关、出接口和协议版本。
set security ike gateway ike-gate-cfgr ike-policy ike-policy-cfgr
set security ike gateway ike-gate-cfgr address 121.xxx.xxx.113
set security ike gateway ike-gate-cfgr external-interface ge-0/0/3
set security ike gateway ike-gate-cfgr version v1-only
- 配置IPsec策略。
set security ipsec policy ipsec-policy-cfgr proposal-set standard
- 应用IPsec策略。
set security ipsec vpn ipsec-vpn-cfgr ike gateway ike-gate-cfgr
set security ipsec vpn ipsec-vpn-cfgr ike ipsec-policy ipsec-policy-cfgr
set security ipsec vpn ipsec-vpn-cfgr bind-interface st0.0
set security ipsec vpn ipsec-vpn-cfgr establish-tunnels immediately
set security ipsec policy ipsec-policy-cfgr perfect-forward-secrecy keys group2
- 配置出站策略。
set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match source-address net-cfgr_192-168-18-0--24
set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match destination-address net-cfgr_192-168-1-0--24
set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match application any
set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr then permit
- 配置入站策略。
set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match source-address net-cfgr_192-168-1-0--24
set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match destination-address net-cfgr_192-168-18-0--24
set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match application any
set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr then permit
