- 最新动态
- 功能总览
- 服务公告
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
- 管理员指南
- 最佳实践
-
故障排除
- 站点入云VPN企业版
- 站点入云VPN经典版
-
终端入云VPN
-
客户端连接失败
- 客户端日志显示“Connection failed to establish within given time”
- 客户端日志显示“Cannot load CA certificate file [[INLINE]](no entries were read)”
- 客户端日志显示“error:068000A8:asn1 encoding routines:wrong tag”
- 客户端日志显示“OpenSSL: error:0A000086:SSL routines::certificate verify failed”
- 客户端日志显示“TLS Error: TLS handshake failed”
- 客户端日志显示“Options error: Unrecognized option or missing or extra parameter(s) in XXX: disable-dco”
- 客户端日志显示“TCP: connect to [AF_INET] *.*.*.*:**** failed: Unknown error”
- 客户端日志显示“AUTH: Received control message: AUTH_FAILED”
- 客户端日志显示“AUTH_FAILED”
- 客户端连接成功,业务无法正常使用
-
客户端连接失败
-
常见问题
-
站点入云VPN企业版
-
热点问题
- 哪些设备可以与华为云进行VPN对接?
- VPN协商参数有哪些?默认值是什么?
- 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN网关实现互联?
- 是否可以通过VPN实现跨境访问网站?
- VPN连接是什么?用户在购买VPN网关时如何选择VPN连接数?
- VPN连接中断后会通知我吗?
- 建立IPsec VPN连接需要账户名和密码吗?
- IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别?
- IPsec VPN是否会自动建立连接?
- 创建VPN都会产生哪些费用,VPN网关IP收费吗?
- VPN网关删除后公网地址是否可以保留?
- VPN监控可以监控哪些内容?
- VPN的带宽限速,是限制的哪个方向的带宽,带宽的单位是什么?
- 如何测试VPN速率情况?
- 按流量计费的VPN可以使用共享流量包吗?
- 如何将按需的VPN转为包年/包月?
- VPC、VPN网关、VPN连接之间有什么关系?
- 如何理解VPN连接中的对端网关和对端子网?
- 连接云下的多台服务器需要购买几个连接?
- VPN支持将两个VPC互连吗?
- 使用VPN会对本地网络造成哪些影响,访问云端主机在路由上会有哪些变化?
- 在多出口的网络中,能否使用两个出口分别与同一VPC建立VPN连接做冗余配置?
- 如何防止VPN连接出现中断情况?
- 如何解决VPN连接无法建立连接问题?
- EIP能作为VPN的网关IP吗?
- VPN配置完成了,为什么连接一直处于未连接状态?
- 本地设备配置VPN时需要设置ACL,为何在控制台上找不到对应的配置?
- 如何判断业务出云流量走哪个EIP?
-
产品咨询
- IPsec VPN适用连接典型组网结构有哪些?
- 什么是VPC、VPN网关、VPN连接?
- VPC、VPN网关、VPN连接之间有什么关系?
- VPN连接是什么?用户在购买VPN网关时如何选择VPN连接数?
- 如何理解VPN连接中的对端网关和对端子网?
- VPN接入VPC的网络地址如何规划?
- IPsec VPN是否会自动建立连接?
- VPN工单分类方法有哪些?如何提交VPN工单?
- 哪些设备可以与华为云进行VPN对接?
- VPN协商参数有哪些?默认值是什么?
- 建立IPsec VPN连接需要账户名和密码吗?
- 如何在已创建的VPN连接中,限定特定的主机访问云上子网?
- VPN监控可以监控哪些内容?
- EIP能作为VPN的网关IP吗?
- 通过VPN互访的主机需要购买EIP吗?
- 虚拟专用网络是否支持SSL VPN?
- VPN配置下发后,多久能够生效?
- VPN是否支持IPv6?
- 如何选择购买VPN带宽的大小?
- VPN连接支持使用国产加密算法吗?
- 创建VPN连接时如何选择IKE的版本?
- VPN使用的DH group对应的比特位是多少?
- 是否可以通过VPN实现跨境访问网站?
- 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联?
- IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别?
- 创建VPN都会产生哪些费用,VPN网关IP收费吗?
- VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别?
- 按流量计费的VPN可以使用共享流量包?
- VPN网关删除后公网地址是否可以保留?
- Console界面在哪添加VPN远端路由?
- VPN连接中断后会通知我吗?
- 如何解决VPN连接无法建立连接问题?
- VPN的带宽限速,是限制的哪个方向的带宽,带宽的单位是什么?
- VPN网关或VPN连接误删后是否支持恢复?
- VPN网关是否支持规格变更,如从专业型1变更到专业型2
- 经典版VPN是否支持升级企业版VPN?
-
组网与使用场景
- 是否可以通过VPN实现跨境访问网站?
- 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联?
- 连接云下的多台服务器需要购买几个连接?
- IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别?
- VPN支持将两个VPC互连吗?
- 使用VPN会对本地网络造成哪些影响,访问云端主机在路由上会有哪些变化?
- 通过VPN来实现云下IDC与云端VPC的互通,两端分别需要做哪些配置?
- 在多出口的网络中,能否使用两个出口分别与同一VPC建立VPN连接做冗余配置?
- 同一个Region的两个VPC可以通过VPN连通吗?
- 可以通过哪些方式连通同一个Region的两个VPC?
- 云端创建了两个VPC,如何与云下的IDC网络互通?
- 组网拓扑如(IDC1-VPC1-VPC2-IDC2)所示,如何实现四个子网互联?
- 云端两个Region,每Region有两个子网,是否可以创建两个VPN连接,分别连通不同子网?
- VPN和OBS可以直接通信吗?
- 用户本地电脑如何连接云上VPN?
- 公司网络已通过VPN连通了云,我如何在家访问云ECS?
- 购买VPN网关和连接后,发现云下没有支持IPsec的设备,如何临时建立VPN连接?
- 如何选择在云上的哪个区域创建VPN网关?
- 计费类
-
Console与页面使用
- VPC、VPN网关、VPN连接之间有什么关系?
- VPN配置下发后,多久能够生效?
- VPN配置完成了,为什么连接一直处于未连接状态?
- VPN网关删除后公网地址是否可以保留?
- 已经创建的VPN哪些信息可以修改,哪些信息不可以修改?
- 本地设备配置VPN时需要设置ACL,为何在控制台上找不到对应的配置?
- 创建VPN连接时添加对端子网,提示系统异常,如何处理?
- Console界面在哪添加VPN远端路由?
- 华为云是否支持API?
- 如何理解VPN连接中的对端网关和对端子网?
- 创建VPN连接时如何关闭PFS?
- VPN本端子网和对端子网的数量有限制吗?
- 配置VPN连接的本端子网和对端子网时需要注意什么?
- 创建VPN连接后业务已通,但网页上的连接状态还是显示未连接?
- 修改协商策略后,页面显示资源不存在,如何处理?
- VPN网关最大支持多大带宽?
- 创建VPN连接时如何选择IKE的版本?
- 建立IPsec VPN连接需要账户名和密码吗?
- VPN监控可以监控哪些内容?
- VPN连接中断后会通知我吗?
-
VPN协商与对接
- 哪些设备可以与华为云进行VPN对接?
- VPN协商参数有哪些?默认值是什么?
- IPsec VPN是否会自动建立连接?
- 如何配置VPN对端设备?(HUAWEI USG6600配置示例)
- VPN支持对端网关域名对接吗?
- 我创建的VPN连接有几个隧道?
- 如何在已创建的VPN连接中,限定特定的主机访问云上子网?
- VPN是否启动了DPD检测机制?
- 如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离?
- 修改VPN连接的配置会造成连接重建吗?
- 华为云对接AWS后,为何不可以从AWS向华为云发起协商?
- 对接云时,如何配置DPD信息?
- 本地防火墙无法收到VPN网关的IKE第一阶段的回复包怎么解决?
- 本地防火墙无法收到VPN子网的回复包怎么解决?
- VPN使用的DH group对应的比特位是多少?
-
连接故障或无法PING通
- VPN配置完成了,为什么连接一直处于未连接状态?
- 如何防止VPN连接出现中断情况?
- 使用中IPsec VPN连接中断后如何快速恢复?
- VPN网关带宽到达限额时有什么影响?
- IPsec VPN是否会自动建立连接?
- 两个Region创建的VPN连接状态正常,为什么不能ping通对端ECS?
- IDC与云端对接,VPN连接正常,子网间业务无法互相访问?
- 正在使用VPN出现了连接中断,提示数据流不匹配,如何排查?
- 正在使用VPN出现了连接中断,提示DPD超时,如何排查?
- 创建VPN连接后业务已通,但网页上的连接状态还是显示未连接?
- VPN连接中断后会通知我吗?
- 如何解决VPN连接无法建立连接问题?
- VPN建立后您的数据中心或局域网无法访问弹性云服务器?
- 为什么VPN创建成功后状态显示未连接?
- VPN是否启动了DPD检测机制?
- 公网地址
- 路由设置
- VPN子网设置
- VPN感兴趣流
- VPN连接保活
- 监控类
- 带宽与网速
- 配额类
- 账号权限
-
热点问题
-
站点入云VPN经典版
-
热点问题
- 哪些设备可以与云进行VPN对接?
- VPN协商参数有哪些?默认值是什么?
- VPN工单分类方法有哪些?如何提交VPN工单?
- 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联?
- 是否可以通过VPN实现跨境访问网站?
- VPN连接是什么?用户在购买VPN网关时如何选择VPN连接数?
- VPN连接中断后会通知我吗?
- 建立IPsec VPN连接需要账户名和密码吗?
- IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别?
- IPsec VPN是否会自动建立连接?
- 创建VPN都会产生哪些费用,VPN网关IP收费吗?
- VPN网关删除后公网地址是否可以保留?
- VPN监控可以监控哪些内容?
- VPN的带宽限速,是限制的哪个方向的带宽,带宽的单位是什么?
- 如何测试VPN速率情况?
- 按流量计费的VPN可以使用共享流量包?
- 如何将按需的VPN转为包年/包月?
- VPC、VPN网关、VPN连接之间有什么关系?
- 如何理解VPN连接中的远端网关和远端子网?
- 连接云下的多台服务器需要购买几个连接?
- VPN支持将两个VPC互连吗?
- 使用VPN会对本地网络造成哪些影响,访问云端主机在路由上会有哪些变化?
- 在多出口的网络中,能否使用两个出口分别与同一VPC建立VPN连接做冗余配置?
- 如何防止VPN连接出现中断情况?
- 为什么VPN创建成功后状态显示未连接?
- 如何解决VPN连接无法建立连接问题?
- EIP能作为VPN的网关IP吗?
- VPN配置完成了,为什么连接一直处于未连接状态?
- 对端VPN设备支持列表?
- 本地设备配置VPN时需要设置ACL,为何在控制台上找不到对应的配置?
-
产品咨询
- IPsec VPN适用连接典型组网结构有哪些?
- 什么是VPC、VPN网关、VPN连接?
- VPC、VPN网关、VPN连接之间有什么关系?
- VPN连接是什么?用户在购买VPN网关时如何选择VPN连接数?
- 如何理解VPN连接中的远端网关和远端子网?
- VPN接入VPC的网络地址如何规划?
- IPsec VPN是否会自动建立连接?
- VPN协商参数有哪些?默认值是什么?
- 哪些设备可以与云进行VPN对接?
- 建立IPsec VPN连接需要账户名和密码吗?
- 如何在已创建的VPN连接中,限定特定的主机访问云上子网?
- VPN监控可以监控哪些内容?
- EIP能作为VPN的网关IP吗?
- 通过VPN互访的主机需要购买EIP吗?
- 虚拟专用网络是否支持SSL VPN?
- VPN配置下发后,多久能够生效?
- 无带宽信息的网关无法创建新的连接如何解决?
- VPN是否支持IPv6?
- 如何选择购买VPN带宽的大小?
- VPN连接支持使用国产加密算法吗?
- 创建VPN连接时如何选择IKE的版本?
- VPN使用的DH group对应的比特位是多少?
- 是否可以通过VPN实现跨境访问网站?
- 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联?
- IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别?
- 创建VPN都会产生哪些费用,VPN网关IP收费吗?
- VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别?
- 按流量计费的VPN可以使用共享流量包?
- VPN网关删除后公网地址是否可以保留?
- 通过VPN互访的主机需要购买EIP吗?
- Console界面在哪添加VPN远端路由?
- VPN连接中断后会通知我吗?
- 如何解决VPN连接无法建立连接问题?
- VPN的带宽限速,是限制的哪个方向的带宽,带宽的单位是什么?
-
组网与使用场景
- 是否可以通过VPN实现跨境访问网站?
- 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联?
- 连接云下的多台服务器需要购买几个连接?
- 多人访问ECS,是否可以给每个客户机安装一套IPsec软件和云端建立VPN连接?
- IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别?
- VPN支持将两个VPC互连吗?
- 使用VPN会对本地网络造成哪些影响,访问云端主机在路由上会有哪些变化?
- 通过VPN来实现云下IDC与云端VPC的互通,两端分别需要做哪些配置?
- 在多出口的网络中,能否使用两个出口分别与同一VPC建立VPN连接做冗余配置?
- 同一个Region的两个VPC可以通过VPN连通吗?
- 可以通过哪些方式连通同一个Region的两个VPC?
- 使用VPN替换专线该如何配置?
- 云端创建了两个VPC,如何与云下的IDC网络互通?
- 组网拓扑如(IDC1-VPC1-VPC2-IDC2)所示,如何实现四个子网互联?
- 云端两个Region,每Region有两个子网,是否可以创建两个VPN连接,分别连通不同子网?
- VPN和OBS可以直接通信吗?
- 用户本地电脑如何连接VPN?
- 公司网络已通过VPN连通了云,我如何在家访问ECS?
- 购买VPN网关和连接后,发现云下没有支持IPsec的设备,如何临时建立VPN连接?
- 如何选择在云上的哪个区域创建VPN网关?
- 计费类
-
Console与页面使用
- VPC、VPN网关、VPN连接之间有什么关系?
- VPN配置下发后,多久能够生效?
- VPN配置完成了,为什么连接一直处于未连接状态?
- VPN网关删除后公网地址是否可以保留?
- 创建VPN是需要创建VPN网关还是VPN连接,已经创建的VPN哪些信息可以修改,哪些信息不可以修改?
- 本地设备配置VPN时需要设置ACL,为何在控制台上找不到对应的配置?
- 创建VPN连接时添加远端子网,提示系统异常,如何处理?
- Console界面在哪添加VPN远端路由?
- 华为云是否支持API?
- 如何理解VPN连接中的远端网关和远端子网?
- 创建VPN连接时如何关闭PFS的Group配置?
- VPN本端子网和远端子网的数量有限制吗,为什么我选择网段更新本地子网提示报错?
- 配置VPN连接的本端子网和远端子网时需要注意什么?
- 创建VPN连接后业务已通,但网页上的连接状态还是显示未连接?
- 修改协商策略后,页面显示资源不存在,如何处理?
- 无带宽信息的网关无法创建新的连接如何解决?
- 如何重置已经建立的VPN连接?
- VPN网关最大支持多大带宽?
- 创建VPN连接时如何选择IKE的版本?
- 建立IPsec VPN连接需要账户名和密码吗?
- VPN监控可以监控哪些内容?
- VPN连接中断后会通知我吗?
-
VPN协商与对接
- 哪些设备可以与云进行VPN对接?
- VPN协商参数有哪些?默认值是什么?
- IPsec VPN是否会自动建立连接?
- 使用VPN连通云端VPC网络,云下设备如何配置?
- VPN支持远端网关域名对接吗?
- 我创建的VPN连接有几个隧道?
- 如何在已创建的VPN连接中,限定特定的主机访问云上子网?
- VPN是否启动了DPD检测机制?
- 如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离?
- 修改VPN连接的配置会造成连接重建吗?
- 华为云的VPN对接AWS后,为何不可以从AWS向华为云的VPN发起协商?
- 对接云时,如何配置DPD信息?
- 本地防火墙无法收到VPN网关的IKE第一阶段的回复包怎么解决?
- 本地防火墙无法收到VPN子网的回复包怎么解决?
- VPN使用的DH group对应的比特位是多少?
- 对端VPN设备支持列表?
-
连接故障或无法PING通
- VPN配置完成了,为什么连接一直处于未连接状态?
- 如何防止VPN连接出现中断情况?
- 使用中IPsec VPN连接中断后如何快速恢复?
- VPN网关带宽到达限额时有什么影响?
- IPsec VPN是否会自动建立连接?
- 两个Region创建的VPN连接状态正常,为什么不能ping通对端ECS?
- IDC与云端对接,VPN连接正常,子网间业务无法互相访问?
- 正在使用VPN出现了连接中断,提示数据流不匹配,如何排查?
- 正在使用VPN出现了连接中断,提示DPD超时,如何排查?
- 创建VPN连接后业务已通,但网页上的连接状态还是显示未连接?
- VPN连接中断后会通知我吗?
- 如何解决VPN连接无法建立连接问题?
- VPN建立后您的数据中心或局域网无法访问弹性云服务器?
- 为什么VPN创建成功后状态显示未连接?
- VPN是否启动了DPD检测机制?
- 什么是对等体存活检测?
- 公网地址
- 路由设置
- VPN子网设置
- VPN感兴趣流
- VPN连接保活
- 监控类
- 带宽与网速
- 配额类
- 账号权限
-
热点问题
- 终端入云VPN
-
站点入云VPN企业版
- API参考
- 文档下载
- 通用参考
链接复制成功!
H3C-SecPath防火墙(V7)对接华为云配置指引
华为云配置信息说明
VPN网关IP:11.11.11.11
VPC子网:192.168.10.0/24,192.168.20.0/24
客户侧网关IP:22.22.22.22
客户侧子网:172.16.10.0/24,172.16.20.0/24,172.16.30.0/24
协商策略详情:
一阶段策略(IKE Policy)
认证算法(Authentication Algorithm): sha2-256
加密算法(Encryption Algorithm): aes-128
版本(Version): v2
DH算法(DH Algorithm ): group14
生命周期(Life Cycle): 86400
二阶段策略(IPsec Policy)
传输协议(Transfer Protocol): esp
认证算法(Authentication Algorithm): sha2-256
加密算法(Encryption Algorithm): aes-128
完美前向安全(PFS):DH-group14
生命周期(Life Cycle): 86400
客户侧设备组网与基础配置假设
- 假定客户侧基础网络配置如下:
- 内网接口:GigabitEthernet1/0/0 所属zone为Trust,接口IP为10.0.0.1/30。
- 预进行加密传输的子网为172.16.10.0/24,172.16.20.0/24,172.16.30.0/24,所属zone为Trust。
- 外网接口:GigabitEthernet1/0/1 所属zone为Untrust,接口IP为22.22.22.22/24。
- 缺省路由:目标网段0.0.0.0/0 出接口GE1/0/1,下一跳为GE1/0/1的网关IP为22.22.22.1。
- 安全策略:Trust访问Untrust,源地址、目标地址及服务均为any,动作放行。
- NAT策略:源地址为内网网段,目标地址为ANY,动作为EasyIP,即转换为接口IP。
- 基础配置命令行示意如下:
interface GigabitEthernet1/0/0 ip address 10.0.0.1 255.255.255.252 # interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 # ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 22.22.22.1 ip route-static 172.16.10.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2 ip route-static 172.16.20.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2 ip route-static 172.16.30.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2 # security-zone name Trust import interface GigabitEthernet1/0/0 # security-zone name Untrust import interface GigabitEthernet1/0/1 # security-policy ip rule 0 name Policy-Internet action pass logging enable counting enable source-zone Trust destination-zone Untrust # object-group ip address Customer-subnet172.16.10.0/24 0 network subnet 172.16.10.0 255.255.255.0 # object-group ip address Customer-subnet172.16.20.0/24 0 network subnet 172.16.20.0 255.255.255.0 # object-group ip address Customer-subnet172.16.30.0/24 0 network subnet 172.16.30.0 255.255.255.0 # nat policy rule name Snat_Internet source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 outbound-interface GigabitEthernet1/0/1 action easy-ip port-preserved
IPsec配置指引
- WEB页面的VPN配置过程说明:
登录设备WEB管理界面,在导航栏中选择“VPN > IPsec”。
- 配置IKE提议:选择新建IKE提议,指定认证方式、认证算法、加密算法、DH、生命周期与华为云参数相同。
- 配置IPsec策略:
基本配置中选择设备角色为对等/分支节点,IP地址类型选择IPv4,接口选择外网接口,本地IP填写对接公网地址,对端IP地址填写华为云网关IP。
IKE策略中,协商模式与预共享秘密选择与华为相同配置,ike提议调用已创建提议,本端ID与对端ID均选择IPv4地址类型,值键入对应的公网IP。
保护数据流的源IP为本地私网网段,目的地址为华为云侧私网网段。
高级配置IPsec参数中封装模式、安全协议、认证算法、加密算法、PFS、生存时间均需要与华为云配置一致,建议开通DPD按时检测。
- 配置安全策略:添加客户侧私网网段与华为云私网网段互访的安全策略,服务为ANY,动作pass,推荐置顶这两条安全策略规则。
- NAT策略:添加源地址为客户侧私网网段,目标为华为云私网网段动作为不做转换的nat规则,并将该规则置顶。
注意:
- 安全策略中需要添加本地公网IP与华为云网关IP的互访规则,协议为UDP的500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。
- 不可以将公网IP的协商流进行NAT转发,需要确保本地公网IP访问华为云的流量不被NAT。
- 确保访问目标子网的路由指向公网出接口下一跳。
- 待加密数据流的网段请填写真实IP和掩码,请勿调用地址对象。
- 若客户侧网络存在多出口时,请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出,推荐使用静态路由配置选择出口网络。
- 命令行配置说明:
object-group ip address HWCloud_subnet192.168.10.0/24 0 network subnet 192.168.10.0 255.255.255.0 # object-group ip address HWCloud_subnet192.168.20.0/24 0 network subnet 192.168.20.0 255.255.255.0
#配置一阶段提议,算法详情与华为云相同
ikev2 proposal 100 encryption aes-cbc-128 integrity sha256 dh group14 prf sha256
# 配置两端协商PSK,PSK两端相同
ikev2 keychain IPsec-KEY peer keypeername address 11.11.11.11 255.255.255.255 pre-shared-key local plaintext ****** pre-shared-key remote plaintext ******
#配置IKEV2的Profile,调用PSK,匹配两端公网IP
ikev2 profile IKE-PROFILE authentication-method local pre-share authentication-method remote pre-share keychain IPsec-KEY identity local address 22.22.22.22 match local address 22.22.22.22 match remote identity address 11.11.11.11 255.255.255.255 sa duration 86400
# 配置ike policy,类同ike对等体配置,调用ike阶段提议并与接口IP进行关联
ikev2 policy IKE-PEER proposal 100 match local address 22.22.22.22
# 配置感兴趣流
acl advanced 3999 rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 2 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 4 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 6 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
#配置二阶段提议
IPsec transform-set IPsec-PH2 encapsulation-mode tunnel esp authentication-algorithm sha256 esp encryption-algorithm aes-cbc-128 pfs dh-group14
#配置IPsec policy,调用感兴趣流和二阶段提议
IPsec policy IPsec-HW 1 isakmp transform-set IPsec-PH2 security acl 3999 local-address 22.22.22.22 remote-address 11.11.11.11 ikev2-profile IKE-PROFILE sa duration time-based 3600
#将IPsec policy绑定在协商接口下
interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 tcp mss 1300 IPsec apply policy IPsec-HW
#配置安全策略,放行两端私网的数据互访,放行公网IP间互访流量
security-policy ip rule 1 name IPsec-OUT action pass logging enable counting enable source-zone Trust destination-zone Untrust source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 destination-ip HWCloud_subnet192.168.10.0/24 destination-ip HWCloud_subnet192.168.20.0/24 rule 2 name IPsec-IN action pass logging enable counting enable source-zone Untrust destination-zone Trust source-ip HWCloud_subnet192.168.10.0/24 source-ip HWCloud_subnet192.168.20.0/24 destination-ip Customer-subnet172.16.10.0/24 destination-ip Customer-subnet172.16.20.0/24 destination-ip Customer-subnet172.16.30.0/24 rule 3 name IPsec-NEG-pass action pass logging enable counting enable source-ip 11.11.11.11 255.255.255.255 source-ip 22.22.22.22 255.255.255.255 destination-ip 11.11.11.11 255.255.255.255 destination-ip 22.22.22.22 255.255.255.255 rule 0 name Policy-Internet ……
#配置NAT策略,确保本地子网访问华为云子网no-nat
nat policy rule name IPsec_NONAT source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 destination-ip HWCloud_subnet192.168.10.0/24 destination-ip HWCloud_subnet192.168.20.0/24 outbound-interface GigabitEthernet1/0/1 action no-nat rule name Snat_Internet ……
#路由配置,访问华为云子网路由由公网接口流出
ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 B.B.B.1 ……
- 使用ikev1协商差异化配置说明:
ike proposal 100 authentication-algorithm sha256 encryption-algorithm aes-cbc-128 authentication-method pre-share dh group14 sa duration 86400
#无V2标识,一条命令完成协商PSK配置
ike keychain IPsec-KEY pre-shared-key address 11.11.11.11 255.255.255.255 key simple *******
#无V2标识,配置增加exchange-mode,直接调用一阶段提议,不用单独配置ike policy
ike profile IKE-PROFILE keychain IPsec-KEY local-identity address 22.22.22.22 exchange-mode main //aggressive dpd interval 3 periodic match remote identity address 11.11.11.11 255.255.255.255 match local address 22.22.22.22 proposal 100
功能验证
VPN连接配置完成后,云上不会主动触发隧道建立,需要数据流触发协商。
触发方式:私网间数据流,例如用192.168.10.0/24网段的主机去ping 172.16.10.0/24网段主机,反过来ping也可以。
用私网地址ping对端公网网关IP不触发隧道协商,例如172.16.10.0/24网段主机ping 11.11.11.11是不会触发隧道建立的。