部署VPN网关前,需要做好以下准备:
本教程以以下配置为例,介绍如何通过VPN网关实现云上VPC和云下IDC互通,使VPC内云资源和IDC内的服务器可以通过私网进行通信。
注意:下载配置中的RemotSubnet和LocalSubnet与创建 VPN 连接时的本端网段和对端网段正好是相反的。因为从云上VPN网关角度看,对端是用户IDC的网段,本端是VPC网段;而从线下IDC的网关设备角度看,LocalSubnet就是指线下IDC的网段,RemotSubnet则是指云上 VPC 的网段。
根据云上 VPC 导出的 VPN 网关配置,在防火墙上做相应适配,具体信息如下表。
协议 | 配置 | 取值 |
---|---|---|
IKE | 认证算法 | sha1 |
加密算法 | aes | |
DH分组 | group2 | |
IKE版本 | ikev1 | |
生命周期 | 86400 | |
协商模式 | main | |
PSK | h3c | |
IPSec | 认证算法 | sha1 |
加密算法 | aes | |
DH分组 | group2 | |
IKE版本 | ikev1 | |
生命周期 | 86400 | |
协商模式 | esp |
配置 | 取值 | |
---|---|---|
VPC信息 | 私网CIDR | 192.168.10.0/24 |
网关公网IP | 101.xxx.xxx.127 | |
IDC信息 | 私网CIDR | 192.168.66.0/24 |
网关公网IP | 122.xxx.xxx.248 | |
上行公网网口 | Reth 1 | |
下行私网网口 | G 2/0/10 |
登录防火墙web界面,完成基本网络配置。包括上下行接口的配置。
单击IKE提议 > 新建,配置IKE提议。协议字段需要和对应的云端IKE协议信息匹配。
单击策略 > 安全策略 > 新建。分别创建上行安全策略和下行安全策略:
命令测试通信是否正常。
- ping
来源: https://yq.aliyun.com/articles/218663