在配置好云上VPN网关、用户网关、IPsec连接等操作后,还要在本地数据中心的深信服防火墙,进行VPN连接的配置。
网段信息
云上VPC网段为192.168.1.0/24,VPN网关的公网IP为23.XX.XX.18。本地数据中心的私网网段为10.0.0.0/24,网关设备的静态公网IP为110.XX.XX.64。
VPN网关的公网IP是指创建VPN网关时,系统自动分配的公网IP,作为VPN网关的网关出口IP,与单独购买的公网IP实例不同,是不可单独持有的资源,生命周期与VPN网关保持一致。
IPsec连接
预共享密钥:test@1234
NAT穿越:开启
IKE配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes |
| DH算法 | group14 |
| 协商模式 | aggressive |
| 版本 | ikev2 |
| 生命周期 | 86400 |
IPsec配置
| 策略 | 取值 |
|---|---|
| 认证算法 | sha256 |
| 加密算法 | aes |
| DH算法 | group14 |
| 生命周期 | 86400 |
本文仅介绍必要的参数配置,其他参数您可根据实际情况,选择性的配置。不同版本的深信服防火墙,界面及入口可能有所不同,您可咨询防火墙厂商了解详情。
从本地登录深信服防火墙Web页面,在左侧“导航菜单”下,选择“VPN > IPsecVPN > 第三方对接 > 第一阶段”。
根据IPsec连接的IKE配置,进行深信服防火墙第一阶段的配置。
在右侧页面的顶部,选择“线路出口”,然后单击“新建”,创建一个新的连接。
参数 | 说明 | 取值样例 |
|---|---|---|
| 设备名称 | 输入设备的名称。 | VPN0001 |
| 设备地址类型 | 请选择“对端是固定IP”。 | 对端是固定IP |
| 固定IP | 输入云端VPN网关的IP地址。 | 23.XX.XX.18 |
| 认证方式 | 选择“预共享密钥”。 | 预共享密钥 |
| 预共享密钥 | IPsec连接时设置的预共享密钥。 | test@1234 |
| 启用设备 | 默认选中。 | 勾选 |
| 启用主动连接 | 默认选中。 | 勾选 |
单击“高级”,进行连接的高级配置,完成后单击“确定”。
参数 | 说明 | 取值样例 |
|---|---|---|
| ISAKMP存活时间 | ISAKMP的存活时间,需与IPsec连接时设置的IKE生命周期保持一致。 | 86400 |
| 重试次数 | 连接重试的次数。 | 10 |
| 支持模式 | 深信服防火墙设备需要NAT穿越时,请选“野蛮模式”,对应IPsec连接时IKE的“协商模式”。 | 野蛮模式 |
| D-H群 | 选择“MOOP 1024群(3)”。 | MOOP 1024群(3) |
| 本端身份类型 | 选择“IPv4地址(IPv4 ADDR)”。 | IPv4地址(IPv4 ADDR) |
| 本端身份ID | 本端网关的IP地址。 | 110.XX.XX.64 |
| 远端身份类型 | 选择“IPv4地址(IPv4 ADDR)”。 | IPv4地址(IPv4 ADDR) |
| 远端身份ID | 云端VPN网关的IP地址。 | 23.XX.XX.18 |
| 启用DPD | 本示例不选。 | 不选 |
| 启用NAT穿透 | 本示例需要选中。 | 勾选 |
| 认证算法 | 选择认证算法。 | SHA256 |
| 加密算法 | 选择加密算法。 | AES |
在左侧“导航菜单”下,选择“VPN > IPsecVPN > 第三方对接 > 第二阶段”。
根据网段信息,配置入站策略。
在“入站策略”页签下单击“新建”,创建一个新的入站策略,完成后单击“确定”。
参数 | 说明 | 取值样例 |
|---|---|---|
| 策略名称 | 输入入站策略名称。 | testin |
| 源IP类型 | 选择为“子网+掩码”。 | 子网+掩码 |
| 子网 | 输入VPC侧的子网。 | 192.168.1.0 |
| 掩码 | 输入子网的掩码。 | 255.255.255.0 |
| 对端设备 | 选择第一阶段配置设备名称。 | VPN0001 |
| 入站服务 | 选择允许开放的服务。 | 所有服务 |
| 安全选项 | 选择安全选项。 | 默认安全选项 |
| 启用该策略 | 选择启用。 | 勾选 |
根据网段信息,配置出站策略。
在“出站策略”页签下单击“新建”,创建一个新的出站策略。
参数 | 说明 | 取值样例 |
|---|---|---|
| 策略名称 | 自定义策略名称。 | testout |
| 源IP类型 | 选择源IP的类型。 | 子网+掩码 |
| 子网 | 输入本端子网。 | 10.0.0.0 |
| 掩码 | 输入本端的掩码。 | 255.255.255.0 |
| 对端设备 | 选择第一阶段配置设备名称。 | VPN0001 |
| 出站服务 | 选择允许开放的服务。 | 所有服务 |
| 安全选项 | 选择安全选项。 | 默认安全选项 |
| 启用该策略 | 选择启用。 | 勾选 |
在左侧“导航菜单”下,选择“VPN > IPsecVPN > 第三方对接 > 安全选项”。
根据IPsec连接的IPsec配置,进行安全配置。
单击“新增”,在弹出的页面进行安全配置,完成后单击“确定”。
参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | 自定义名称。 | test连接 |
| 协议 | 第二阶段的认证协议,本示例为ESP。 | ESP |
| 加密算法 | IPsec连接时IPsec配置的加密算法。 | SHA256 |
| 认证算法 | IPsec连接时IPsec配置的认证算法。 | AES |
配置本地数据中心的路由和ACL,允许访问云上私有网络的流量进入VPN通信隧道。