使用IPsec VPN建立站点到站点的连接时,在配置完天翼云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。
前提条件
- 已经在天翼云VPC内创建了IPsec连接。
- 已经下载了IPsec连接的配置。
IPsec协议信息
配置 示例值 IKE 认证算法 SHA1 加密算法 AES-128 DH分组 Group5 IKE版本 IKEv1 生命周期 86400 协商模式 main PSK ct***h3c IPsec 认证算法 SHA1 加密算法 AES-128 PFS DH group5 生命周期 3600
网络配置信息
| 配置项 | 示例值 |
|---|---|
| VPC | 待和本地IDC互通的私网网段。 |
| VPN网关 | 天翼云VPN网关的公网IP地址。 |
| 本地IDC | 待和天翼云VPC互通的私网网段。 |
| 本地IDC | 本地网关设备的公网IP地址。 |
操作步骤
- 以命令行方式登录H3C路由器命令行。
- 配置IKE预共享密钥。
ike keychain ctyun
pre-shared-key address 121.***.***.152 255.255.255.255 key simple ct***h3c
- 配置IKE提议。
ike proposal 10000
sa duration 86400
authentication-algorithm sha
encryption-algorithm aes-cbc-128
dh group5
- 配置IKE安全框架。
ike profile ctyun
exchange-mode main
keychain ctyun
local-identity address 49.***.***.89
proposal 10000
match remote address 121.***.***.152
- 配置ACL,定义要保护的数据流。
acl advanced 3402
rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
- 配置IPsec安全提议。
ipsec transform-set ctyun
protocol esp
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
pfs dh-group5
- 配置IPsec安全策略。
ipsec policy ctyun 10 isakmp
sa duration time-based 3600
transform-set ctyun
security acl 3402
remote-address 121.***.***.152
ike-profile ctyun
- 在GigabitEthernet1/0接口上应用IPsec安全策略ctyun。
interface GigabitEthernet1/0
ipsec apply policy ctyun
- 配置静态路由。
ip route 192.168.3.0 255.255.255.0 49.***.***.1
- 测试连通性。
您可以利用您的云主机和数据中心的主机进行连通性测试。
