资源规划说明 企业路由器ER、云专线DC、 虚拟专用网络 VPN、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表5 DC/VPN双链路互备混合云组网资源规划总体说明 资源类型 资源数量 说明 VPC 2 业务VPC，实际运行客户业务的VPC，需要接入ER中。 VPC名称：请根据实际情况填写，本示例为vpc-for-er。 IPv4网段：VPC网段与客户IDC侧网段不能重复，请根据实际情况填写，本示例为172.16.0.0/16。 子网名称：请根据实际情况填写，本示例为subnet-for-er。 子网IPv4网段：VPC子网网段与客户IDC侧子网网段不能重复，请根据实际情况填写，本示例为172.16.0.0/24。 VPN网关使用的VPC，需要从中分配一个子网提供给VPN网关使用。 VPC名称：请根据实际情况填写，本示例为vpc-for-vpn。 IPv4网段：请根据实际情况填写，本示例为10.0.0.0/16。 子网名称：您创建VPC时，必须创建一个默认子网，请根据实际情况填写，本示例为subnet-01。 子网IPv4网段：默认子网在本示例中不使用，请根据实际情况填写，本示例为10.0.0.0/24。 须知： 您在创建VPN网关时，“虚拟私有云”需要选择该VPC，“互联子网”填写该VPC下的网段，请确保选择的互联子网存在4个及以上可分配的IP地址。 ER 1 名称：请根据实际情况填写，本示例为er-test-01。 ASN：此处AS号不能和线下IDC的AS号一样，本示例中保持默认值64512。 默认路由表关联：开启 默认路由表传播：开启 自动接受共享连接：请根据实际情况选择，本示例选择“开启”。 连接，本示例需要在企业路由器中添加3个连接： VPC连接：er-attach-VPC VGW连接：er-attach-VGW VPN连接：er-attach-VPN DC 1 物理连接：请根据实际需求创建。 虚拟网关 名称：请根据实际情况填写，本示例为vgw-demo。 关联模式：请选择“企业路由器”。 企业路由器：选择您的企业路由器，本示例为er-test-01。 BGP ASN：此处AS号和企业路由器的AS号一样或者不一样均可，本示例中和ER的AS号一致，保持默认值64512。 虚拟接口 名称：请根据实际情况填写，本示例vif-demo。 虚拟网关：选择您的虚拟网关，本示例为vgw-demo。 本端网关：请根据实际情况填写，本示例为10.0.0.1/30。 远端网关：请根据实际情况填写，本示例为10.0.0.2/30。 远端子网：请根据实际情况填写，本示例为192.168.3.0/24。 路由模式：请选择“BGP”。 BGP邻居AS号：此处为线下IDC侧的AS号，不能和云上虚拟网关的AS号一样，本示例为65525。 VPN 1 VPN网关 名称：请根据实际情况填写，本示例为vpngw-demo。 关联模式：请选择“企业路由器”。 企业路由器：选择您的企业路由器，本示例为er-test-01。 BGP ASN：由于DC和VPN为双链路互备，此处AS号和DC虚拟网关的AS号必须一样，本示例为64512。 虚拟私有云：选择您的虚拟私有云，本示例为vpc-for-vpn。 互联子网：用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。请根据实际情况填写，本示例为10.0.5.0/24。 对端网关 名称：请根据实际情况填写，本示例为cgw-demo。 路由模式：请选择“动态BGP”。 BGP ASN：此处为线下IDC侧的AS号，由于DC和VPN为双链路互备，该AS号和DC虚拟接口处设置的AS号必须一样，本示例为65525。 2条VPN连接，互为主备： 名称：请根据实际情况填写，本示例中，主VPN连接为vpn-demo-01，备VPN连接为vpn-demo-02。 VPN网关：选择您的VPN网关，本示例为vpngw-demo。 公网IP：请根据实际情况选择，主VPN连接选择主EIP，备VPN连接选择备EIP。 连接模式：请选择“路由模式”。 对端网关：选择您的对端网关，本示例为cgw-demo。 接口分配方式：本示例选择“自动分配”。 路由模式：请选择“BGP”。 E CS 1 名称：根据实际情况填写，本示例为ecs-demo。 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 8.2 64bit）。 网络： 虚拟私有云：选择您的虚拟私有云，本示例为vpc-for-er。 子网：选择子网，本示例为subnet-for-er。 安全组：请根据实际情况选择，本示例安全组模板选择“通用Web服务器”，名称为sg-demo。 私有IP地址：172.16.1.137 由于DC和VPN是主备链路，为了防止网络环路，DC虚拟网关和VPN网关的AS号必须保持一致，本示例为64512。 ER的AS号和DC、VPN的一样或者不一样均可，本示例为64512。 线下IDC侧的AS号，不能和云上服务的AS号一样，请根据客户的实际情况填写，本示例为65525。

网络规划说明 DC/VPN双链路主备混合云组网规划如图1所示，将VPC、DC和VPN分别接入ER中，组网规划说明如表2所示。 图1 DC/VPN双链路主备混合云组网规划 DC和VPN互为主备网络链路，在DC网络链路正常的情况下，流量优选云专线DC。 在ER路由表中只显示优选路由，由于VGW连接(DC)路由的优先级高于VPN连接，因此ER路由表中不显示VPN连接的路由。 云上VPC和线下IDC通信时，默认使用DC这条网络链路，本示例的网络流量路径说明请参见表1 表1 网络流量路径说明 路径 说明 请求路径：VPC1→线下IDC 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为VGW连接的路由将流量转送到虚拟网关。 虚拟网关连接虚拟接口，通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径：线下IDC→VPC1 通过物理专线将流量转送到虚拟接口。 虚拟接口连接虚拟网关，通过虚拟接口将流量从本端网关转送到虚拟网关。 通过虚拟网关将流量转送到ER。 在ER路由表中，通过下一跳为VPC1连接的路由将流量送达VPC1。 表2 DC/VPN双链路互备混合云组网规划说明 资源 说明 VPC 业务VPC，实际运行客户业务的VPC，本示例中为VPC1，具体说明如下： VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量转发至ER，此处目的地址配置为IDC的子网网段，路由信息如表3所示。 VPN网关使用的子网，建议您创建一个新的VPC，并从中分配子网。 您在创建VPN网关时，需要填写该子网网段，VPN网关使用的子网不能与VPC内已有的子网网段重叠。 DC 1个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个虚拟网关：将虚拟网关接入ER中，即表示将“虚拟网关（VGW）”连接添加到ER。 1个虚拟接口：连接虚拟网关和物理连接。 VPN 1个VPN网关：将VPN接入ER中，即表示将“VPN网关（VPN）”连接添加到ER。 1个对端网关：用户IDC侧的对端网关。 2条VPN连接：连接VPN网关和对端网关，两条VPN连接互为主备链路。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完连接后，系统会自动执行以下配置： VPC： 将1个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表4所示。 DC： 将1个“虚拟网关（VGW）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟网关（VGW）”连接的传播，路由自动学习DC侧的所有路由信息，路由信息如表4所示。 VPN： 将1个“VPN网关（VPN）”连接关联至ER默认路由表。 在默认路由表中创建“VPN网关（VPN）”连接的传播，路由自动学习VPN侧的所有路由信息，路由信息如表4所示。 ECS 1个ECS位于业务VPC内，本示例用该ECS来验证云上和线下IDC的网络通信情况。 如果您有多台ECS，并且这些ECS位于不同的安全组，需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 192.168.3.0/24 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC1网段：172.16.0.0/16 VPC1连接：er-attach-01 传播路由 IDC侧网段：192.168.3.0/24 VGW连接：vgw-demo 传播路由 IDC侧网段：192.168.3.0/24 VPN连接：vpngw-demo 传播路由 当两条路由功能一样时，ER路由表中只会显示优选路由。当DC和VPN网络链路均正常时，由于VGW连接和VPN连接的传播路由均指向线下IDC，因此只能在ER路由表中看到优先级较高的VGW连接的路由，暂时不支持查看ER路由中VPN连接的所有路由（包括未优选的路由）。 当DC出现故障，网络链路切换到VPN时，此时通过管理控制台，可以在ER路由表中看到VPN连接的传播路由。

DC/VPN双链路互备混合云组网构建流程 本章节介绍通过企业路由器构建DC/VPN双链路主备混合云组网总体流程，流程说明如表1所示。 表1 构建DC/VPN双链路主备混合云组网流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网，本示例中创建1个VPC和子网。 在业务VPC子网内，创建ECS，本示例中创建1个ECS。 步骤二：在企业路由器中添加并配置VGW连接 创建物理连接，物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建虚拟网关：创建1个关联企业路由器的虚拟网关，企业路由器中会自动添加“虚拟网关（VGW）”连接。 创建虚拟接口：创建关联虚拟网关的虚拟接口，连接虚拟网关和物理连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤三：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息，目的地址为IDC侧网段。 步骤四：验证DC链路的通信情况 登录ECS，执行ping命令，验证DC链路的网络互通情况。 步骤五：在企业路由器中添加并配置VPN连接 创建VPN网关：创建1个关联企业路由器的VPN网关，企业路由器中会自动添加“VPN网关（VPN）”连接。 创建对端网关：创建1个用户IDC侧的对端网关。 创建2条VPN连接：VPN连接用来连通VPN网关和对端网关，两条VPN连接互为主备链路。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤六：验证VPN链路的通信情况 登录ECS，执行ping命令，验证VPN链路的网络互通情况。 由于VPN链路为备选，如果您需要验证VPN链路通信情况，需要先构造DC主链路故障，然后验证备VPN链路的通信情况。 父主题： 通过企业路由器构建DC/VPN双链路主备混合云组网

步骤五：在企业路由器中添加并配置VPN连接 本示例中，虚拟专用网络VPN、VPN网关使用的VPC资源的总体规划说明，请参见表5。 创建1个VPN网关使用的VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 您在创建VPN网关时，“虚拟私有云”需要选择该VPC，“互联子网”填写该VPC下的网段，请确保选择的互联子网存在4个及以上可分配的IP地址。 创建VPN网关，即在企业路由器中添加“VPN网关（VPN）”连接。 在虚拟专用网络管理控制台，创建VPN网关。 具体方法请参见创建VPN网关。 在企业路由器控制台，查看“VPN网关（VPN）”连接的添加情况。 具体方法请参见查看连接。 “VPN网关（VPN）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“VPN网关（VPN）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联。 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行以下步骤连通VPN后，才可以在ER路由表中查看到IDC侧的路由信息。 创建对端网关。 具体方法请参见创建对端网关。 分别创建两条VPN连接，用作主备。 创建主VPN连接，请参见创建第一条VPN连接。 创建备VPN连接，请参见创建第二条VPN连接。 在IDC侧的网络设备上，配置网络参数。 由于组网为DC和VPN的双链路互备，因此配置路由时，需要注意以下方面： DC和VPN的路由类型保持一致，构造双链路互备需要配置为BGP路由。 配置DC和VPN路由的主备优先级，确保DC的优先级高于VPN。 DC和VPN网络链路的断连感知时间建议和云上网络保持一致。

步骤六：验证VPN链路的通信情况 由于VPN链路为备选，如果您需要验证VPN链路通信情况，需要先构造DC主链路故障，然后验证备VPN链路的通信情况。 构造DC主链路的故障，确保业务VPC已无法通过该链路和IDC通信。 请您务必在没有业务的情况下，构造DC链路故障，以免对业务造成影响。 登录弹性云服务器ecs-demo。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证业务VPC与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例： ping 192.168.3.10 回显类似如下信息，表示vpc-for-er与IDC可以通过ER通信。 [root@ecs-A02 ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.102) 56(84) bytes of data. 64 bytes from 192.168.3.102: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.102: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.102: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.102: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.102 ping statistics ---

步骤二：在企业路由器中添加并配置VGW连接 本示例中，云专线DC资源的总体规划说明，请参见表5。 创建物理连接。 创建方法，具体请参见物理连接接入。 创建虚拟网关，即在企业路由器中添加“虚拟网关（VGW）”连接。 在云专线管理控制台，创建虚拟网关。 具体方法请参见步骤2：创建虚拟网关。 在企业路由器控制台，查看“虚拟网关（VGW）”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关（VGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟网关（VGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联。 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后，才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC，具体方法请参见步骤3：创建虚拟接口。 在IDC侧的网络设备上，配置网络参数。 由于组网为DC和VPN的双链路互备，因此配置路由时，需要注意以下方面： DC和VPN的路由类型保持一致，构造双链路互备需要配置为BGP路由。 配置DC和VPN路由的主备优先级，确保DC的优先级高于VPN。 DC和VPN网络链路的断连感知时间建议和云上网络保持一致。

步骤三：在企业路由器中添加并配置VPC连接 将业务VPC接入企业路由器中。 添加连接时，不开启“配置连接侧路由”功能。 开启该功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。本示例中，需要在VPC路由表中手动配置指向ER的路由，目的地址为IDC侧的网段。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC的路由。 本示例中，ER开启了“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 ER路由规划详情，请参见表2和表4。 查看ER路由，具体方法请参见查看路由。 在业务VPC的路由表中，添加指向ER的路由。 VPC路由规划详情，请参见表3。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

步骤一：创建云服务资源（业务VPC、ECS、ER） 本步骤指导您创建业务VPC、ECS以及ER服务资源，云服务资源的总体规划说明，请参见表5。 创建企业路由器。 创建企业路由器，具体方法请参见创建企业路由器。 创建业务VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 创建业务ECS。 本示例中1个业务ECS主要用于验证云上VPC和线下IDC通信使用，数量和配置仅供参考，请您根据实际需要创建业务ECS。 创建ECS，具体方法请参见购买方式概述。

步骤四：验证DC链路的通信情况 登录弹性云服务器ecs-demo。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证业务VPC与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例： ping 192.168.3.10 回显类似如下信息，表示vpc-for-er与IDC可以通过ER通信。 [root@ecs-A02 ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.102) 56(84) bytes of data. 64 bytes from 192.168.3.102: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.102: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.102: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.102: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.102 ping statistics ---

拓扑连接 本场景拓扑连接及策略协商配置信息如图1所示， 云上VPC的VPN网关IP：11.11.11.11，本地子网：192.168.200.0/24。 客户主机NAT映射IP：22.22.22.22，本地子网：192.168.222.0/24。 云端ECS与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。 VPN连接的协商参数使用华为云缺省配置。 图1 拓扑连接及策略协商配置信息

配置步骤 根据strongswan版本不同，相关配置可能存在差异。本示例以strongswan 5.7.2版本为例，详细介绍strongswan在Linux环境下的VPN配置。 安装IPsec VPN客户端。 yum install strongswan 安装交互过程选择“Y”，出现“Complete!”提示即完成安装，strongswan的配置文件集中放置在/etc/strongswan目录中，配置过程只需编辑IPsec.conf和IPsec.secrets文件即可。 开启IPv4转发。 vim /etc/sysctl.conf 在配置文件中增加如下内容： net.ipv4.ip_forward = 1 执行/sbin/sysctl -p命令，使转发配置参数生效。 iptables配置。 确认关闭firewall或允许数据流转发，查询命令：iptables -L iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 预共享密钥配置。 vim /etc/strongswan/IPsec.secrets # 编辑IPsec.secrets文件 22.22.22.22 11.11.11.11 : PSK "IPsec-key" 格式与openswan相同，冒号的两边都有空格，PSK只能为大写，密钥用英文双引号。 IPsec连接配置。 vim /etc/strongswan/IPsec.conf 在配置文件中增加如下内容： config setup conn strong_IPsec # 定义连接名称为strong_IPsec auto=route # 可选择add、route和start type=tunnel # 开启隧道模式 compress=no # 关闭压缩 leftauth=psk # 定义本地认证方式为PSK rightauth=psk # 定义远端认证方式为PSK ikelifetime=86400s # ike阶段生命周期 lifetime=3600s # 二阶段生命周期 keyexchange=ikev1 # ike密钥交换方式为版本1 ike=aes128-sha1-modp1536! # 按照对端配置定义ike阶段算法和group，modp1536=DH group 5 esp=aes128-sha1-modp1536! # 按照对端配置定义IPsec阶段算法和group，modp1536=DH group 5 leftid=22.22.22.22 # 本端标识ID left=192.168.222.222 # 本地IP，nat场景选择真实的主机地址 leftsubnet=192.168.222.0/24 # 本地子网 rightid=11.11.11.11 # 远端标识ID right=11.11.11.11 # 远端VPN网关IP rightsubnet=192.168.200.0/24 # 远端子网 华为云VPN使用的DH-group对应的比特位详细请参见华为云VPN使用的DH-group对应的比特位是多少？。 启动服务。 service strongswan stop # 关闭服务 service strongswan start # 启动服务 service strongswan restart # 重启服务 strongswan stop # 关闭连接 strongswan start # 开启连接 每次修改配置都需要重启服务，并重新开启连接。

配置验证 通过strongswan statusall查询，可见连接启动时间。 Status of IKE charon daemon (strongSwan 5.7.2, Linux 3.10.0-957.5.1.el7.x86_64, x86_64): uptime: 5 minutes, since Apr 24 19:25:29 2019 malloc: sbrk 1720320, mmap 0, used 593088, free 1127232 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1 loaded plugins: charon pkcs11 tpm aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constra ints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 chapoly x cbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity ea p-sim eap-aka eap-aka-3gpp eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap -peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp led duplicheck unity counters Listening IP addresses:192.168.222.222 Connections: strong_IPsec: 192.168.222.222...11.11.11.11 IKEv1 strong_IPsec: local: [22.22.22.22] uses pre-shared key authentication strong_IPsec: remote: [11.11.11.11] uses pre-shared key authentication strong_IPsec: child: 192.168.222.0/24 === 192.168.200.0/24 TUNNEL Routed Connections: strong_IPsec{1}: ROUTED, TUNNEL, reqid 1 strong_IPsec{1}: 192.168.222.0/24 === 192.168.200.0/24 Security Associations (0 up, 1 connecting): strong_IPsec[1]: CONNECTING, 192.168.222.222[%any]...11.11.11.11[%any] strong_IPsec[1]: IKEv1 SPIs: c3090f6512ec6b7d_i* 0000000000000000_r strong_IPsec[1]: Tasks queued: QUICK_MODE QUICK_MODE strong_IPsec[1]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CERT_POST ISAKMP_NATD 通过VPC1 ping安装有IPsec客户端的VPC2的主机： ping 192.168.222.222 PING 192.168.222.222 (192.168.222.222) 56(84) bytes of data. 64 bytes from 192.168.222.222: icmp_seq=1 ttl=62 time=3.07 ms 64 bytes from 192.168.222.222: icmp_seq=2 ttl=62 time=3.06 ms 64 bytes from 192.168.222.222: icmp_seq=3 ttl=62 time=3.98 ms 64 bytes from 192.168.222.222: icmp_seq=4 ttl=62 time=3.04 ms 64 bytes from 192.168.222.222: icmp_seq=5 ttl=62 time=3.11 ms 64 bytes from 192.168.222.222: icmp_seq=6 ttl=62 time=3.71 ms

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图2所示。 图2 操作流程 表2 操作流程说明 序号 在哪里操作 步骤 说明 1 管理控制台 创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 创建对端网关 添加AR路由器作为对端网关。 3 创建第一条VPN连接 VPN网关的主EIP和对端网关组建第一条VPN连接。 4 创建第二条VPN连接 VPN网关的主EIP2和对端网关组建第二条VPN连接。 第二条VPN连接的连接模式、预共享密钥、IKE/IPsec策略建议和第一条VPN连接配置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器配置的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器配置的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令，验证网络互通情况。

数据规划 表1 数据规划 部件 参数项 AR路由器规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（AR路由器上行公网网口GE0/0/8的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 14 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group 14 传输协议：ESP 生命周期（秒）：3600

操作步骤 登录防火墙设备的命令行配置界面。 不同防火墙型号及版本命令可能存在差异，配置时请以对应版本的产品文档为准。 配置基本信息。 配置防火墙接口的IP地址。 interface GigabitEthernet1/0/1 //配置防火墙的公网IP地址。 ip address 1.1.1.1 255.255.255.0 interface GigabitEthernet1/0/2 //配置防火墙的私网IP地址。 ip address 172.16.0.233 255.255.255.0 将接口划入对应zone。 firewall zone untrust add interface GigabitEthernet1/0/1 firewall zone trust add interface GigabitEthernet1/0/2 配置TCP MSS大小。 firewall tcp-mss 1300 配置协商策略。 ike proposal /100/ //配置防火墙公网IP地址和VPN网关主EIP的IKE策略相关配置 authentication-algorithm SHA2-256 //请和表3配置的IKE策略认证算法保持一致 encryption-algorithm AES-128 //请和表3配置的IKE策略加密算法保持一致 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 //请和表3配置的IKE策略DH算法保持一致 sa duration 86400 //请和表3配置的IKE策略生命周期保持一致 ike peer /hwcloud_peer33/ undo version 1 //请和表3配置的IKE策略IKE版本保持一致 pre-shared-key XXXXXXX //请和表3配置的预共享密钥保持一致 ike-proposal /100/ remote-address 1.1.1.2 //请和VPN网关的主EIP保持一致 IPsec proposal /IPsec-pro100/ //配置防火墙公网IP地址和VPN网关主EIP的IPsec策略相关配置 transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 //请和表3配置的IPsec策略认证算法保持一致 esp encryption-algorithm aes-128 //请和表3配置的IPsec策略加密算法保持一致 ike proposal /200/ //配置防火墙公网IP地址和VPN网关备EIP的相关配置，配置规则同上 authentication-algorithm SHA2-256 encryption-algorithm AES-128 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 sa duration 86400 ike peer /hwcloud_peer44/ undo version 1 pre-shared-key XXXXXXX ike-proposal /200/ remote-address 2.2.2.2 //请和VPN网关的备EIP保持一致 IPsec proposal /IPsec-pro200/ transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 esp encryption-algorithm aes-128 配置隧道连接。 IPsec profile /HW-IPsec100/ //配置防火墙公网IP地址对应的路由策略 ike-peer hwcloud_peer33/ proposal /IPsec-pro100/ //配置防火墙公网IP地址的路由模式隧道接口 pfs dh-group15 //请和表3配置的IPsec策略PFS保持一致 sa duration time-based 3600 //请和表3配置的IPsec策略生命周期保持一致 interface /Tunnel100/ ip address 169.254.70.1 255.255.255.252 //配置为防火墙的隧道接口1 IP地址 tunnel-protocol IPsec source 1.1.1.1 //配置为防火墙的公网IP地址 destination 1.1.1.2 //配置为VPN网关的主EIP service-manage ping permit IPsec profile /HW-IPsec100/ firewall zone untrust add interface /Tunnel100/ interface /Tunnel200/ ip address 169.254.71.1 255.255.255.252 //配置为防火墙的隧道接口2 IP地址 tunnel-protocol IPsec source 1.1.1.1 //配置为防火墙的公网IP地址 destination 2.2.2.2 //配置为VPN网关的备EIP service-manage ping permit IPsec profile /HW-IPsec200/ firewall zone untrust add interface /Tunnel200/ 配置路由信息。 配置华为云公网IP的静态路由。 ip route-static 1.1.1.2 255.255.255.255 1.1.1.1 //VPN网关主EIP+空格+255.255.255.255+空格+防火墙公网IP的网关地址 ip route-static 2.2.2.2 255.255.255.255 1.1.1.1 //VPN网关备EIP+空格+255.255.255.255+空格+防火墙公网IP的网关地址 配置私网静态路由。 ip route-static 192.168.0.0 255.255.255.0 /Tunnel100/ 1.1.1.2 ip route-static 192.168.0.0 255.255.255.0 /Tunnel200/ 2.2.2.2 格式为ip route-static VPC子网1+空格+子网掩码+空格+/Tunnel100/+VPN主EIP。 其中，Tunnel100需要和配置隧道连接配置的编号保持一致，且对应隧道编号中destination的值需要和配置的EIP保持一致。 如果存在多个VPC子网，则每个EIP均需要配置多条路由。 配置安全策略。 ip address-set /localsubnet172/ type object //定义地址对象 address 0 172.16.0.0 mask 24 //配置用户数据中心的子网信息 ip address-set /HWCsubnet192/ type object address 0 192.168.0.0 mask 24 //配置华为云VPC的子网信息 security-policy rule name /IPsec_permit1/ source-zone untrust source-zone internet source-zone local destination-zone untrust destination-zone internet destination-zone local service ah esp service protocol udp destination-port 500 4500 action permit rule name /IPsec_permit2/ source-zone untrust source-zone internet source-zone trust destination-zone untrust destination-zone internet destination-zone trust source-address address-set /localsubnet172/ source-address address-set /HWCsubnet192/ destination-address address-set /localsubnet172/ destination-address address-set /HWCsubnet192/ action permit nat-policy rule name IPsec_subnet_bypass source-zone trust destination-zone untrust destination-zone internet source-address address-set /localsubnet172/ destination-address address-set /HWCsubnet192/ action no-nat