场景描述
VPN网关通过策略模式对接华为AR路由器的典型组网如图 典型组网所示。
图1 典型组网
本场景下以AR路由器单IP地址方案为例,VPN网关采用双活模式,主EIP、主EIP2和该IP地址创建一组VPN连接。
约束与限制
VPN和AR路由器支持的认证算法、加密算法存在差异,请确保创建连接时两端策略配置保持一致。
数据规划
表1 数据规划 部件 | 参数项 | AR路由器规划示例 | 华为云规划示例 |
|---|
VPC | 子网 | 172.16.0.0/16 | - 192.168.0.0/24
- 192.168.1.0/24
|
VPN网关 | 网关IP | 1.1.1.1(AR路由器上行公网网口GE0/0/8的接口IP) | - 主EIP:1.1.1.2
- 主EIP2:2.2.2.2
|
互联子网 | - | 192.168.2.0/24 |
VPN连接 | IKE策略 | - 版本:v2
- 认证算法:SHA2-256
- 加密算法:AES-128
- DH算法:Group 14
- 生命周期(秒):86400
- 本端标识:IP Address
- 对端标识:IP Address
|
IPsec策略 | - 认证算法:SHA2-256
- 加密算法:AES-128
- PFS:DH group 14
- 传输协议:ESP
- 生命周期(秒):3600
|
操作流程
通过VPN实现数据中心和VPC互通的操作流程如图 操作流程所示。
图2 操作流程
表2 操作流程说明 序号 | 在哪里操作 | 步骤 | 说明 |
|---|
1 | 管理控制台 | 创建VPN网关 | VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP,则此处可以直接绑定使用。 |
2 | 创建对端网关 | 添加AR路由器作为对端网关。 |
3 | 创建VPN连接 | - VPN网关的主EIP、主EIP2和连接1对端网关、连接2对端网关创建一组VPN连接。
- 连接2配置的连接模式、预共享密钥、IKE/IPsec策略建议和连接1配置保持一致。
|
4 | AR命令配置界面 | AR路由器侧操作步骤 | - AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。
- AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。
|
5 | - | 结果验证 | 执行ping命令,验证网络互通情况。 |
