文档首页/ 虚拟专用网络 VPN/ 管理员指南/
更新时间:2024-10-11 GMT+08:00
查看PDF
分享

示例:使用TheGreenBow IPsec VPN Client配置云上云下互通

操作场景

本文档详细的描述了“VPC+云桌面”和“VPC+VPC”场景下,使用TheGreenBow IPsec VPN Clinet软件与华为云端建立VPN连接的配置指导。

本任务指导您使用The GreenBow IPsec VPN Client测试VPN云连接配置,通过两个应用场景分别说明了IPsec VPN Client的配置信息,场景配置信息说明如下。

  • 场景一:桌面云安装客户端与VPC上的VPN网关互联。
    1. 受客户端限制,桌面云需为Windows操作系统。
    2. 桌面云可Ping通云端VPC的VPN网关IP(Ping不通无法建立VPN连接)。
  • 场景二:VPC1上的ECS安装客户端与VPC2上的VPN网关互联。
    1. VPC1上的Windows虚拟机需要购买EIP。
    2. VPC1的虚拟机可Ping通VPC2上的VPN网关IP(Ping不通无法建立VPN连接)。

前提条件

  • 场景一:桌面云+VPC
    • 云端完成VPC、子网和ECS配置。
    • 云端完成VPN网关和连接配置。
      图1 策略详情
    • 云桌面完成TheGreenBow IPsec VPN Client 客户端安装。
    • 桌面云可Ping VPN网关IP地址。
      图2 桌面云Ping VPN连接
  • 场景二:VPC+VPC
    • 完成两个区域的VPC、子网和ECS配置,其中一个区域的ECS必须为Windows(VPC2)。
    • 在VPC1完成VPN网关和VPN连接配置。
      图3 策略详情2
    • VPC2中的Windows虚拟机安装TheGreenBow IPsec VPN Client 客户端。
    • VPC2虚拟机可Ping VPC1上的VPN网关IP地址。
      图4 VPC虚拟机Ping VPN网关

      华为云端的VPN配置信息采用默认配置。

配置步骤

场景一:桌面云+VPC场景的客户端配置
  1. 全局参数配置

    修改IKE和IPsec的默认生存时间(非关键配置步骤,选配),建议不勾选断线侦测。

    图5 全局参数配置
  2. IKE第一阶段配置

    右键单击“VPN配置”,选择“新建第一阶段”,本实例中使用客户端软件已有的第一阶段进行配置,配置信息请参见图6

    图6 IKE第一阶段配置
    • 接口:选择本地用于VPN连接的网卡接口。
    • 远端网关:VPC云端购买的VPN网关。
    • 预共享密钥:与华为云端配置一致【huawei@123】。
    • IKE:与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。
    • 第一阶段高级信息按缺省配置,证书无需配置。
    • 若高级信息中配置本端和远端ID,推荐选择IP。
      • 可选配置【本端ID】:IP地址10.119.156.78 //选择本端建立VPN的连接地址
      • 可选配置【远端ID】:IP地址10.154.71.9 //选择远端建立VPN的网关IP

    IKE阶段高级配置信息请参见图7

    图7 高级配置信息
  3. IPsec第二阶段配置
    右键单击“第一阶段”,选择“新建第二阶段”,本实例中使用客户端软件已有的第二阶段进行配置,配置信息请参见图8
    图8 IPsec第二阶段配置
    • VPN客户端地址:10.119.156.78 //选择安装客户端桌面云的真实IP
    • 地址类型:子网地址
    • 远端LAN地址:192.168.11.0 //VPC侧的子网
    • 子网掩码:255.255.255.0 //VPC侧的子网掩码
    • ESP:与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。
    • PSF:与华为云端配置一致。勾选PFS、群组【DH5(1536)】。
    • 高级和脚本保持默认配置即可。
    • Remote Sharing配置需要将VPC云端的ECS主机IP进行添加。
    图9 Remote Sharing配置

    所有配置完成后请单击“保存”,后续修改配置信息请先保存再发起连接,否则更改配置信息不生效,建立连接在第二阶段页签点击右键,选择“开启隧道”,在调试过程中若修改过配置参数,请在保存后选择“工具 >重置IKE”,待IKE重置后再重新开启隧道。

场景二:VPC+VPC场景的客户端配置
  1. 全局参数配置

    修改IKE和IPsec的默认生存时间(非关键配置步骤,选配),建议不勾选断线侦测。

    图10 全局参数配置2
  2. IKE第一阶段配置

    右键单击“VPN配置”,选择“新建第一阶段”,本实例中使用客户端软件已有的第一阶段进行配置,配置信息请参见图11

    图11 IKE第一阶段配置2
    • 接口:选择本地用于VPN连接的网卡接口。
    • 远端网关:VPC云端购买的VPN网关。
    • 预共享密钥:与华为云端配置一致【huawei@123】。
    • IKE:与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。
    • 第一阶段高级信息按缺省配置,证书无需配置。
    • 在高级信息中配置本端和远端ID,推荐选择IP; //此配置区别于桌面云
      • 必选配置【本端ID】:IP地址122.112.215.214 //选择本端建立VPN连接EIP
      • 必选配置【远端ID】:IP地址117.78.30.55 //选择远端建立VPN的网关IP

    IKE阶段高级配置信息请参见图12

    图12 IKE阶段高级配置信息2
  3. IPsec第二阶段配置

    右键单击“第一阶段”,选择“新建第二阶段”,本实例中使用客户端软件已有的第二阶段进行配置,配置信息请参见图13

    图13 IPsec第二阶段配置
    • VPN客户端地址:192.168.222.225 //选择安装客户端虚拟机的真实IP
    • 地址类型:子网地址
    • 远端LAN地址:192.168.111.0 //VPC侧的子网
    • 子网掩码:255.255.255.0 //VPC侧的子网掩码
    • ESP:与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。
    • PSF:与华为云端配置一致。勾选PFS、群组【DH5(1536)】。
    • 高级和脚本保持默认配置即可。
    • 远程分享配置需要将VPC云端的ECS主机IP进行添加。
    图14 远程分享配置

    所有配置完成后请单击“保存”,后续修改配置信息请先保存再发起连接,否则更改配置信息不生效,建立连接在第二阶段页签点击右键,选择“开启隧道”,在调试过程中若修改过配置参数,请在保存后选择“工具 > 重置IKE”,IKE重置后再重新开启隧道。

配置验证

  • 场景一验证

    在桌面云与VPC连接的场景中,桌面云最终可访问VPC远端虚拟机。

    1. 桌面云VPN连接在开启隧道后,若配置正确,第一阶段创建的图示会很快切换为第二阶段,第二阶段和隧道建立成功。如下图所示。
      图15 发送第二阶段
      图16 隧道开启
    2. VPN连接建立成功如下图所示。
      图17 VPN连接建立成功
    3. 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。
      图18 VPN连接状态
    4. 查看桌面云网络配置信息,如下图所示。
      图19 桌面云网络配置信息
    5. 桌面云 Ping 云端VPC虚拟机
      图20 桌面云 Ping 云端VPC虚拟机
    6. 云端VPC虚拟机 Ping 桌面云
      图21 云端虚拟机 Ping 桌面云

    场景一验证成功。

  • 场景二验证

    在VPC+VPC连接的场景中,VPC1的虚拟机和VPC安装客户端的虚拟机应该可以互通。

    1. VPN连接过程,开启隧道后,若配置正确,第一阶段创建的图示会很快切换为第二阶段,第二阶段和隧道建立成功。如下图所示。
      图22 发送第二阶段2
      图23 隧道已开启2
    2. VPN连接建立成功。如下图所示。
      图24 VPN连接建立成功2
    3. 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。
      图25 VPN连接状态2
    4. 查看VPC网络配置信息。如下图所示。
      图26 VPC网络配置信息
    5. VPC内的虚拟机 Ping 云端VPC虚拟机
      图27 VPC内的虚拟机 Ping 云端VPC虚拟机
    6. 云端VPC虚拟机 Ping VPC内的虚拟机
      图28 云端VPC虚拟机 Ping VPC内的虚拟机

    场景二验证成功。

相关文档