使用IPsec VPN建立站点到站点的连接时,在配置完天翼云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。
背景信息
VPC和本地IDC的网络配置如下:
| 配置项 | 示例值 |
|---|---|
| VPC | 待和本地IDC互通的私网网段。 |
| VPN网关 | 天翼云VPN网关的公网IP地址。 |
| 本地IDC | 待和天翼云VPC互通的私网网段。 |
| 本地IDC | 本地网关设备的公网IP地址。 |
前提条件
- 您已经在天翼云VPC内创建了IPsec连接。
- 已经下载了IPsec连接的配置。
配置IKEv1 VPN
协议 配置 示例值 IKE
认证算法
SHA1
加密算法
AES-128
DH分组
Group2
IKE版本
IKEv1
生命周期
86400
协商模式
main
PSK
aa123bb****
IPsec 认证算法
SHA1
加密算法
AES-128
PFS
DH group2
生命周期
3600
传输协议
ESP
操作步骤
- 登录防火墙设备的命令行配置界面。
- 配置isakmp策略。
crypto isakmp policy 1
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
- 配置预共享密钥。
crypto isakmp key aa123bb**** address 121.XX.XX.113
- 配置IPsec安全协议。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac
mode tunnel
- 配置ACL(访问控制列表),定义需要保护的数据流。
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255
如果本地网关设备配置了多网段,则需要分别针对多个网段添加ACL策略。
- 配置IPsec策略。
crypto map ipsecpro64 10 ipsec-isakmp
set peer 121.XX.XX.113
set transform-set ipsecpro64
set pfs group2
match address 100
- 应用IPsec策略。
interface g0/0
crypto map ipsecpro64
- 配置静态路由。
ip route 192.168.10.0 255.255.255.0 121.XX.XX.113
ip route 192.168.11.0 255.255.255.0 121.XX.XX.113
- 测试连通性。
您可以利用您在云中的主机和您数据中心的主机进行连通性测试。
