## 操作场景若本地数据中心使用的是山石防火墙，在配置好云上VPN网关、用户网关、IPsec连接等操作后，还要在山石防火墙上进行VPN连接的配置。 :::tip 注意不同型号、不同版本的山石防火墙的操作配置、界面显示等可能存在差别，本文使用Hillstone的SG\-6000\-VM01型号SG6000\-CloudEdge\-5.5R7P9版本的防火墙进行配置演示。您可根据实际使用的防火墙型号、版本，自行查看防火墙说明文档或咨询第三方防火墙厂商具体的操作配置。 ::: ## 前提条件已完成[创建VPN网关](https://www.volcengine.com/docs/6455/70558)、[创建用户网关](https://www.volcengine.com/docs/6455/70566)、[创建IPsec连接](https://www.volcengine.com/docs/6455/70571)和[添加VPN网关路由](https://www.volcengine.com/docs/6455/70563)的操作。 ## 参数说明 * 云上VPC * 网段为192.168.2.0/24，VPN网关的公网IP为22.XX.XX.10。 > VPN网关的公网IP是指创建VPN网关时，系统自动分配的公网IP，作为VPN网关的网关出口IP，与单独购买的公网IP实例不同，是不可单独持有的资源，生命周期与VPN网关保持一致。 * 云上IPsec连接 * 预共享密钥（PSK）：test@1234 * IKE配置 |策略 |取值 | |---|---| |认证算法 |sha256 | |加密算法 |aes192 | |DH算法 |group14 | |协商模式 |main | |版本 |ikev1 | |生命周期 |86400 | * IPsec配置 |策略 |取值 | |---|---| |认证算法 |sha256 | |加密算法 |aes192 | |DH算法 |group14 | |生命周期 |86400 | |安全协议 |esp | * 本地数据中心：私网网段为10.1.1.0/24，网关设备的静态公网IP为122.XX.XX.64，出方向公网接口为vlan100。 ## 操作步骤 > 本文仅介绍必要的参数配置，其他参数您可根据实际情况，选择性的配置。 1. 在本地登录Hillstone防火墙的Web页面。 2. 在顶部导航栏选择“网络”，然后在左侧导航树中选择“VPN \> IPsecVPN”。在“IKE VPN 配置”页面单击“P1提议”页签，在“P1提议”页签下单击“新建”。 3. 在“阶段1提议配置”页面进行IKE协商阶段的配置，配置完成后单击“确定”。 ![图片](https://lf3-volc-editor.volccdn.com/obj/volcfe/sop-public/upload_c84580d11b089fc49e43d7f796d67a33.png =841x) |参数 |取值 | |---|---| |提议名称 |P1 | |认证 |Pre\-share | |验证算法 |SHA\-256 | |加密算法 |AES\-192 | |DH组 |Group14 | |生存时间 |86400 | 4. 在“IKE VPN 配置”页面单击“P2提议”页签，然后单击“新建”，在“阶段2提议配置”页面进行IPsec协商阶段的配置，配置完成后单击“确定”。 ![图片](https://lf3-volc-editor.volccdn.com/obj/volcfe/sop-public/upload_48e056ab50febc81b54d4c18bcff808a.png =865x) |参数 |取值 | |---|---| |提议名称 |P2 | |协议 |ESP | |验证算法 |SHA\-256 | |加密算法 |AES\-192 | |压缩 |None | |PFS组 |Group14 | |生存时间 |86400 | 5. 在“IKE VPN 配置”页面单击“VPN对端列表”页签，然后单击“新建”，新建一个名为“hs_to_vpc”的对端VPN，并在“基本配置”页签下配置VPN对端信息，配置完成后单击“确定”。若需开启NAT穿越，请在“高级配置”页签下单击“启用”开启，全部配置完成后单击“确定”。 ![图片](https://lf3-volc-editor.volccdn.com/obj/volcfe/sop-public/upload_0179e8d23efd18700358ca224177dcbd.png =836x) |参数 |说明 |取值 | |---|---|---| |认证模式 |对应云上VPC中IPsec连接的“协商模式”。主模式对应main，野蛮模式对应aggressive。 |主模式 | |类型 |云上VPN网关的公网IP地址类型。 |静态IP | |对端IP地址 |云上VPN网关的公网IP地址。 |22.XX.XX.10 | |本地ID |本地ID的类型。 |IPv4 | |本地IP |本地IDC侧的公网IP地址。 |122.XX.XX.64 | |对端ID |本地ID的类型。 |IPv4 | |对端IP |云上VPN网关的公网IP地址。 |22.XX.XX.10 | |提议1 |步骤2中配置的P1提议。 |P1 | |预共享密钥 |要与云上VPC中IPsec连接的共享密钥保持一致。 |test@1234 | 6. 在“IKE VPN 配置”页面单击“IKE VPN列表”，然后单击“新建”，参考下表在“基本配置”页签下配置IKE VPN，配置完成后单击“确定”，然后单击“高级配置”页签，勾选“自动连接”后的“启用”。 |参数 |说明 |取值 | |---|---|---| |**对端** ||| |对端选项 |选择步骤5中创建的VPN对端的名称。 |hs_to_vpc | |**隧道** ||| |名称 |VPN隧道的名称。 |hs_to_vpc | |模式 |VPN隧道的模式。 |tunnel | |P2提议 |选择步骤4中创建的P2提议。 |P2 | |代理ID |选择配置代理ID的方式。 |手工 | |本地IP/掩码 |输入本地IDC侧的私网网段。 |10.1.1.0/24 | |远程IP/掩码 |输入云上VPC的私有网段。 |192.168.2.0/24 | |服务 |选择服务方式，完成后需要单击“添加”按钮保存。 |any | 7. 在左侧导航树中单击“安全域”，然后单击“新建”，在“基本配置”页签下进行安全域的配置，配置完成后单击“确定”。 |参数 |说明 |取值 | |---|---|---| |安全域名称 |设置安全域的名称 |sec_01 | |类型 |选择安全域的类型。 |三层安全域 | |虚拟路由器 |选择本地IDC的虚拟路由。 |trust_vr | 8. 在左侧导航树中单击“接口”，然后单击“新建 \> 隧道接口”，在“隧道接口”的“基本配置”页签下配置隧道接口，配置完成后单击“确定”。如需配置MUT和Keep\-alive IP，可在“隧道接口”的“属性”页签下配置。 |参数 |说明 |取值 | |---|---|---| |**基本配置** ||| |接口名称 |输入隧道接口的名称，固定格式为`tunnel序号`，序号的取值范围1～64. |tunnel100 | |绑定安全域 |选择需要绑定的安全域的类型。 |三层安全域 | |安全域 |选择步骤7创建的安全域。 |sec_01 | |**隧道绑定配置** ||| |隧道类型 |固定为“IPsec VPN”。 |IPsec VPN | |VPN名称 |选择步骤6中VPN隧道的名称，完成后需要单击“添加”按钮保存。 |hs_to_vpc | 9. 在顶部导航栏选择“策略”，然后在左侧导航树单击“策略”，单击“新建”，配置上、下行的安全策略。 1. 添加上行安全策略。从本地IDC到云上VPC方向的安全策略。 |参数 |说明 |取值 | |---|---|---| |**源信息** ||| |安全域 |选择源安全域，为步骤7中“虚拟路由器”的名称。 |trust_vr | |地址 |此处选择“any”。 |any | |**目的** ||| |安全域 |选择目的安全域，为步骤6中创建的安全域的名称。 |sec_01 | |地址 |此处选择“any”。 |any | |动作 |设置此条安全策略的执行动作，允许或拒绝访问。 |允许 | 2. 添加下行安全策略。从云上VPC到本地IDC方向的安全策略。 |参数 |说明 |取值 | |---|---|---| |**源信息** ||| |安全域 |选择源安全域，为步骤6中创建的安全域的名称。 |sec_01 | |地址 |此处选择“any”。 |any | |**目的** ||| |安全域 |目的源安全域，为步骤6中“虚拟路由器”的名称。 |trust_vr | |地址 |此处选择“any”。 |any | |操作 |设置此条安全策略的执行动作，允许或拒绝访问。 |允许 | 10. 在顶部导航栏选择“网络”，然后在左侧导航树单击“路由”，，单击“新建”，添加上、下行路由。 1. 上行路由从本地IDC到云上VPC方向的路由。 ![图片](https://lf6-volc-editor.volccdn.com/obj/volcfe/sop-public/upload_fd94a856cc9b8e896e75f3bb505a6c1d.png =670x) |参数 |说明 |取值 | |---|---|---| |所属虚拟路由器 |选择步骤6中本地IDC的虚拟路由。 |trust_vr | |目的地 |云上VPC的私网网段。 |192.168.2.0 | |子网掩码 |网段的掩码。 |24 | |下一跳 |选择下一跳的类型。 |接口 | |接口 |选择步骤8中新创建的接口的名称。 |tunnel100 | 2. 下行路由：自行配置防火墙下行接口的路由。若防火墙下行接口IP地址属于本地IDC的私网网断，则存在本地直连路由，无需再配置下行路由。