使用IPsec VPN建立站点到站点的连接时,在配置完天翼云VPN网关后,您还需在本地站点的网关设备中进行VPN配置。
前提条件
- 已经在天翼云VPC内创建了IPsec连接。
- 已经下载了IPsec连接的配置。
IPsec协议信息
配置 示例值 IKE 认证算法 SHA1 加密算法 AES-128 DH分组 Group5 IKE版本 IKEv1 生命周期 86400 协商模式 main PSK ct***huawei IPsec 认证算法 SHA1 加密算法 AES-128 PFS DH group5 生命周期 3600
网络配置信息
| 配置项 | 示例值 |
|---|---|
| VPC | 待和本地IDC互通的私网网段。 |
| VPN网关 | 天翼云VPN网关的公网IP地址。 |
| 本地IDC | 待和天翼云VPC互通的私网网段。 |
| 本地IDC | 本地网关设备的公网IP地址。 |
操作步骤
- 以命令行方式登录华为路由器命令行。
- 配置IKE安全提议。
ike proposal 10 sa duration 86400 authentication-algorithm sha1 encryption-algorithm aes-128 dh group5 authentication-method pre-share - 配置IKE对等体、预共享密钥和对端ID等信息。
ike peer ctyun pre-shared-key simple ct***huawei ike-proposal 10 local-address 123.***.***.23 remote-address 121.***.***.152 exchange-mode main - 配置ACL,定义要保护的数据流。
acl 3402 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 - 配置IPsec安全提议。
ipsec proposal ctyun esp authentication-algorithm sha1 esp encryption-algorithm aes-128 - 配置IPsec安全策略。
ipsec policy ctyun 10 isakmp security acl 3402 ike-peer ctyun proposal ctyun - 在GigabitEthernet1/0/1接口上应用IPsec安全策略ctyun。
interface GigabitEthernet1/0/1 ipsec policy ctyun - 配置静态路由。
ip route-static 192.168.3.0 255.255.255.0 123.***.***.1 - 测试连通性。
您可以利用您的云主机和数据中心的主机进行连通性测试。
