Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Virtual Private Network/ Perguntas frequentes/ Classic VPN/ Negociação e interconexão de VPN/ Como configurar uma VPN em um dispositivo local? (Configuração da VPN em um firewall da série USG6600 da Huawei)
Atualizado em 2023-09-21 GMT+08:00
Ver PDF
Compartilhar

Como configurar uma VPN em um dispositivo local? (Configuração da VPN em um firewall da série USG6600 da Huawei)

Devido à simetria do túnel, os parâmetros de VPN configurados na nuvem devem ser os mesmos configurados no data center local. Se eles forem diferentes, uma VPN não pode ser estabelecida.

Para configurar uma VPN, você também precisa configurar a VPN IPsec em seu roteador ou firewall local. O método de configuração pode variar dependendo do dispositivo de rede em uso. Para obter detalhes, consulte o guia de configuração do dispositivo de rede.

A seguir, é usado um firewall da série USG6600 da Huawei executando V100R001C30SPC300 como um exemplo para descrever como configurar uma VPN em um dispositivo local.

Suponha que as sub-redes locais sejam 192.168.3.0/24 e 192.168.4.0/24, as sub-redes da VPC sejam 192.168.1.0/24 e 192.168.2.0/24, e o endereço IP público da saída do túnel IPsec na VPC é XXX.XXX.XX.XX, que pode ser obtido a partir dos parâmetros de gateway local da VPN IPsec na VPC.

Procedimento

  1. Faça logon na CLI do firewall.
  2. Verifique as informações de versão do firewall. 
    display version 
17:20:502017/03/09
Huawei Versatile Security Platform Software
Software Version: USG6600 V100R001C30SPC300 (VRP (R) Software, Version 5.30)
  3. Crie uma lista de controle de acesso (ACL) e vincule-a à instância de VPN de destino. 
    acl number 3065 vpn-instance vpn64
rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
q
  4. Crie uma proposta de IKE. 
    ike proposal 64 
dh group5 
authentication-algorithm sha1 
integrity-algorithm hmac-sha2-256 
sa duration 3600 
q
  5. Crie um IKE de par e refira à proposta de IKE criada. O endereço IP do par é 93.188.242.110. 
    ike peer vpnikepeer_64
pre-shared-key ******** (******** specifies the pre-shared key.)
ike-proposal 64
undo version 2
remote-address vpn-instance vpn64 93.188.242.110
sa binding vpn-instance vpn64
q
  6. Crie um protocolo IPsec. 
    IPsec proposal IPsecpro64
encapsulation-mode tunnel
esp authentication-algorithm sha1
q
  7. Crie uma política de IPsec e vincule a política de IKE e a proposta de IPsec a ela. 
    IPsec policy vpnIPsec64 1 isakmp
security acl 3065
pfs dh-group5
ike-peer vpnikepeer_64
proposal IPsecpro64
local-address xx.xx.xx.xx
q
  8. Aplique a política de IPsec à subinterface. 
    interface GigabitEthernet0/0/2.64
IPsec policy vpnIPsec64
q
  9. Teste a conectividade.

    Teste a conectividade entre seu ECS na nuvem e os servidores no data center local, conforme mostrado em Figura 1.

    Figura 1 Teste de conectividade