华为云用户手册

华为云配置信息说明 VPN网关IP：11.11.11.11 VPC子网：192.168.10.0/24，192.168.20.0/24 客户侧网关IP：22.22.22.22 客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24 协商策略详情： 一阶段策略（IKE Policy） 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 版本（Version）: v1 DH算法（DH Algorithm ）: group14 生命周期（Life Cycle）: 86400 协商模式（Exchange-mode ）: main 二阶段策略（IPsec Policy） 传输协议（Transfer Protocol）: esp 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 完美前向安全（PFS）：DH-group14 生命周期（Life Cycle）: 86400

配置步骤 IPsec基础配置 登录防火墙管理页面，选择“网络 ＞ IPsec”，新建IPsec连接，详情如图4所示。 图3 新建IPsec连接1 图4 新建IPsec连接2 表1 新建IPsec参数设置 参数名称 说明 虚拟系统 选择默认即可。 策略名称 客户自行指定。 本端接口 配置对接本端公网IP的接口。 本端地址 本端公网IP。 对端地址 对端公网IP。 认证方式 预共享密钥。 本端ID与对端ID IP地址，并填入对应的公网IP。 待加密数据流 源地址为云下子网，目标地址为云上子网，请勿使用地址组名称配置。 安全提议 按照华为云策略配置，要求两端配置信息一致。 DPD 勾选DPD，选择按需发送，配置信息默认即可。 路由配置 选择“网络 ＞ 路由 ＞ 静态路由”，新建一条目的为华为云子网的静态路由，下一跳指向本地出接口网关IP。 图5 新建静态路由 表2 新建静态路由参数设置 参数名称 说明 协议类型 IPv4。 源虚拟路由器 选择默认的“public”。 目的地址/掩码 云端子网地址。 目的虚拟路由器 选择默认的“public”。 出接口 本端公网IP配置的接口。 下一跳 本端公网地址下一跳。 其余配置默认即可，存在多出口时，需额外添加访问云端公网IP从此出接口流出的路由。 NAT配置 选择“策略 ＞ NAT策略 ＞ 源NAT”，新建一条本地子网访问华为云不做NAT转换的策略。 图6 新建源NAT策略 表3 新建源NAT策略参数设置 参数名称 说明 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any 转换方式 不做NAT转换 为确保该策略优先匹配，请将该策略置顶。 请注意接口地址出外网不做NAT转换。 例如已配置缺省策略：源区域为any，访问目标区域any，出口转换为接口地址。请额外添加一条NAT策略：源区域为local，目标区域为any，转换方式为不做NAT转换，并将该策略置于缺省策略之上。 安全策略配置 选择“策略 ＞ 安全策略 ＞ 安全策略”，新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any。 动作 允许 为确保该策略优先匹配，请将该策略置顶。

配置验证 执行以下命令，查询可见连接启动时间。 strongswan statusall Status of IKE charon daemon (strongSwan 5.7.2, Linux 3.10.0-957.5.1.el7.x86_64, x86_64): uptime: 5 minutes, since Apr 24 19:25:29 2019 malloc: sbrk 1720320, mmap 0, used 593088, free 1127232 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1 loaded plugins: charon pkcs11 tpm aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constra ints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 chapoly x cbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity ea p-sim eap-aka eap-aka-3gpp eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap -peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp led duplicheck unity counters Listening IP addresses:192.168.222.222 Connections: strong_ipsec: 192.168.222.222...11.11.11.11 IKEv1 strong_ipsec: local: [22.22.22.22] uses pre-shared key authentication strong_ipsec: remote: [11.11.11.11] uses pre-shared key authentication strong_ipsec: child: 192.168.222.0/24 === 192.168.200.0/24 TUNNEL Routed Connections: strong_ipsec{1}: ROUTED, TUNNEL, reqid 1 strong_ipsec{1}: 192.168.222.0/24 === 192.168.200.0/24 Security Associations (0 up, 1 connecting): strong_ipsec[1]: CONNECTING, 192.168.222.222[%any]...11.11.11.11[%any] strong_ipsec[1]: IKEv1 SPIs: c3090f6512ec6b7d_i* 0000000000000000_r strong_ipsec[1]: Tasks queued: QUICK_MODE QUICK_MODE strong_ipsec[1]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CERT_POST ISAKMP_NATD 执行以下命令，安装有IPsec客户端的VPC2的主机。 VPC1 ping ping 192.168.222.222 PING 192.168.222.222 (192.168.222.222) 56(84) bytes of data. 64 bytes from 192.168.222.222: icmp_seq=1 ttl=62 time=3.07 ms 64 bytes from 192.168.222.222: icmp_seq=2 ttl=62 time=3.06 ms 64 bytes from 192.168.222.222: icmp_seq=3 ttl=62 time=3.98 ms 64 bytes from 192.168.222.222: icmp_seq=4 ttl=62 time=3.04 ms 64 bytes from 192.168.222.222: icmp_seq=5 ttl=62 time=3.11 ms 64 bytes from 192.168.222.222: icmp_seq=6 ttl=62 time=3.71 ms

拓扑连接 本场景拓扑连接及策略协商配置信息如图1所示， 云上VPC的VPN网关IP：11.11.11.11，本地子网：192.168.200.0/24。 客户主机NAT映射IP：22.22.22.22，本地子网：192.168.222.0/24。 云端E CS 与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。 VPN连接的协商参数使用华为云缺省配置。 图1 拓扑连接及策略协商配置信息

配置步骤 根据strongswan版本不同，相关配置可能存在差异。本示例以strongswan 5.7.2版本为例，详细介绍strongswan在Linux环境下的VPN配置。 执行以下命令，安装IPsec VPN客户端。 yum install strongswan 安装交互过程选择“Y”，出现“Complete!”提示即完成安装，strongswan的配置文件集中放置。在/etc/strongswan目录中，配置过程只需编辑ipsec.conf和ipsec.secrets文件即可。 执行以下命令，开启IPv4转发。 vim /etc/sysctl.conf 在配置文件中增加如下内容： net.ipv4.ip_forward = 1 执行以下命令，使转发配置参数生效。 /sbin/sysctl -p 执行以下命令，查询iptables配置，确认关闭firewall或允许数据流转发。 iptables -L iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 执行以下命令，配置预共享密钥。 vim /etc/strongswan/ipsec.secrets 在配置文件中增加如下内容： 22.22.22.22 11.11.11.11 : PSK "ipsec-key" 格式与openswan相同，冒号的两边都有空格，PSK只能为大写，密钥用英文双引号。 执行以下命令，IPsec连接配置。 vim /etc/strongswan/ipsec.conf 在配置文件中增加如下内容： config setup conn strong_ipsec # 定义连接名称为strong_ipsec auto=route # 可选择add、route和start type=tunnel # 开启隧道模式 compress=no # 关闭压缩 leftauth=psk # 定义本地认证方式为PSK rightauth=psk # 定义远端认证方式为PSK ikelifetime=86400s # ike阶段生命周期 lifetime=3600s # 二阶段生命周期 keyexchange=ikev1 # ike密钥交换方式为版本1 ike=aes128-sha1-modp1536! # 按照对端配置定义ike阶段算法和group，modp1536=DH group 5 esp=aes128-sha1-modp1536! # 按照对端配置定义ipsec阶段算法和group，modp1536=DH group 5 leftid=22.22.22.22 # 本端标识ID left=192.168.222.222 # 本地IP，nat场景选择真实的主机地址 leftsubnet=192.168.222.0/24 # 本地子网 rightid=11.11.11.11 # 远端标识ID right=11.11.11.11 # 远端VPN网关IP rightsubnet=192.168.200.0/24 # 远端子网 华为云VPN使用的DH-group对应的比特位详细请参见华为云VPN使用的DH-group对应的比特位是多少？。 执行以下命令，启动服务。 service strongswan stop # 关闭服务 service strongswan start # 启动服务 service strongswan restart # 重启服务 strongswan stop # 关闭连接 strongswan start # 开启连接 每次修改配置都需要重启服务，并重新开启连接。

拓扑连接 本场景拓扑连接及策略协商配置信息如图 拓扑连接及策略协商配置信息所示。 云上VPC的VPN网关IP：11.11.11.11，本地子网：192.168.200.0/24。 客户主机NAT映射IP：22.22.22.22，本地子网：192.168.222.0/24。 云端ECS与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。 VPN连接的协商参数使用华为云缺省配置。 图1 拓扑连接及策略协商配置信息

配置步骤 场景一：桌面云+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。 图5 全局参数配置 IKE第一阶段配置 右键单击“VPN配置”，选择“新建第一阶段”，本示例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图6。 图6 IKE第一阶段配置 接口：选择本地用于VPN连接的网卡接口。 远端网关：VPC云端购买的VPN网关。 预共享密钥：与华为云端配置一致【huawei@123】。 IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。 第一阶段高级信息按缺省配置，证书无需配置。 若高级信息中配置本端和远端ID，推荐选择IP。 可选配置【本端ID】：IP地址10.119.156.78 # 选择本端建立VPN的连接地址 可选配置【远端ID】：IP地址10.154.71.9 # 选择远端建立VPN的网关IP IKE阶段高级配置信息请参见图7。 图7 高级配置信息 IPsec第二阶段配置 右键单击“第一阶段”，选择“新建第二阶段”，本示例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图8。 图8 IPsec第二阶段配置 VPN客户端地址：10.119.156.78 # 选择安装客户端桌面云的真实IP 地址类型：子网地址 远端LAN地址：192.168.11.0 # VPC侧的子网 子网掩码：255.255.255.0 # VPC侧的子网掩码 ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。 PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。 高级和脚本保持默认配置即可。 Remote Sharing配置需要将VPC云端的ECS主机IP进行添加。 图9 Remote Sharing配置 所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具 ＞重置IKE”，待IKE重置后再重新开启隧道。 场景二：VPC+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。 图10 全局参数配置2 IKE第一阶段配置 右键单击“VPN配置”，选择“新建第一阶段”，本示例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图11。 图11 IKE第一阶段配置2 接口：选择本地用于VPN连接的网卡接口。 远端网关：VPC云端购买的VPN网关。 预共享密钥：与华为云端配置一致【huawei@123】。 IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。 第一阶段高级信息按缺省配置，证书无需配置。 在高级信息中配置本端和远端ID，推荐选择IP； # 此配置区别于桌面云 必选配置【本端ID】：IP地址122.112.215.214 # 选择本端建立VPN连接EIP 必选配置【远端ID】：IP地址117.78.30.55 # 选择远端建立VPN的网关IP IKE阶段高级配置信息请参见图12。 图12 IKE阶段高级配置信息2 IPsec第二阶段配置 右键单击“第一阶段”，选择“新建第二阶段”，本示例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图13。 图13 IPsec第二阶段配置 VPN客户端地址：192.168.222.225 # 选择安装客户端虚拟机的真实IP 地址类型：子网地址 远端LAN地址：192.168.111.0 # VPC侧的子网 子网掩码：255.255.255.0 # VPC侧的子网掩码 ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。 PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。 高级和脚本保持默认配置即可。 远程分享配置需要将VPC云端的ECS主机IP进行添加。 图14 远程分享配置 所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具 ＞ 重置IKE”，IKE重置后再重新开启隧道。

配置验证 场景一验证 在桌面云与VPC连接的场景中，桌面云最终可访问VPC远端虚拟机。 桌面云VPN连接在开启隧道后，若配置正确，第一阶段创建的图示会很快切换为第二阶段，第二阶段和隧道建立成功。如下图所示。 图15 发送第二阶段 图16 隧道开启 VPN连接建立成功如下图所示。 图17 VPN连接建立成功 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。 图18 VPN连接状态 查看桌面云网络配置信息，如下图所示。 图19 桌面云网络配置信息 桌面云 Ping 云端VPC虚拟机 图20 桌面云 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping 桌面云 图21 云端虚拟机 Ping 桌面云 场景一验证成功。 场景二验证 在VPC+VPC连接的场景中，VPC1的虚拟机和VPC安装客户端的虚拟机应该可以互通。 VPN连接过程，开启隧道后，若配置正确，第一阶段创建的图示会很快切换为第二阶段，第二阶段和隧道建立成功。如下图所示。 图22 发送第二阶段2 图23 隧道已开启2 VPN连接建立成功。如下图所示。 图24 VPN连接建立成功2 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。 图25 VPN连接状态2 查看VPC网络配置信息。如下图所示。 图26 VPC网络配置信息 VPC内的虚拟机 Ping 云端VPC虚拟机 图27 VPC内的虚拟机 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping VPC内的虚拟机 图28 云端VPC虚拟机 Ping VPC内的虚拟机 场景二验证成功。

前提条件 场景一：桌面云+VPC 云端完成VPC、子网和ECS配置。 云端完成VPN网关和连接配置。 图1 策略详情 云桌面 完成TheGreenBow IPsec VPN Client 客户端安装。 桌面云可Ping VPN网关IP地址。 图2 桌面云Ping VPN连接 场景二：VPC+VPC 完成两个区域的VPC、子网和ECS配置，其中一个区域的ECS必须为Windows（VPC2）。 在VPC1完成VPN网关和VPN连接配置。 图3 策略详情2 VPC2中的Windows虚拟机安装TheGreenBow IPsec VPN Client 客户端。 VPC2虚拟机可Ping VPC1上的VPN网关IP地址。 图4 VPC虚拟机Ping VPN网关 华为云端的VPN配置信息采用默认配置。

操作场景 本文档详细的描述了“VPC+云桌面”和“VPC+VPC”场景下，使用TheGreenBow IPsec VPN Client软件与华为云端建立VPN连接的配置指导。 本任务指导您使用The GreenBow IPsec VPN Client测试VPN云连接配置，通过两个应用场景分别说明了IPsec VPN Client的配置信息，场景配置信息说明如下。 场景一：桌面云安装客户端与VPC上的VPN网关互联。 受客户端限制，桌面云需为Windows操作系统。 桌面云可Ping通云端VPC的VPN网关IP（Ping不通无法建立VPN连接）。 场景二：VPC1上的ECS安装客户端与VPC2上的VPN网关互联。 VPC1上的Windows虚拟机需要购买EIP。 VPC1的虚拟机可Ping通VPC2上的VPN网关IP（Ping不通无法建立VPN连接）。

拓扑连接 拓扑连接方式： 使用防火墙设备直接和云端建立VPN连接。 使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。 VPN接入方式的配置指导，相关信息说明如下： 用户数据中心VPN设备私网IP：10.10.10.10/24 用户数据中心用户子网：10.0.0.0/16 防火墙出口IP：11.11.11.2/24，公网网关：11.11.11.1，VPN设备的NAT IP：11.11.11.11 云端VPN网关IP：22.22.22.22，云端子网：172.16.0.0/16 现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 深信服NAT场景 华为云端的VPN连接资源策略配置按照图2所示信息配置，使用DMZ区域专用的VPN设备进行NAT穿越连接时，协商模式修改为野蛮模式；使用防火墙进行连接协商模式选择缺省。 图2 华为云VPN策略配置

客户侧设备组网与基础配置假设 假定客户侧基础网络配置如下： 内网接口：GigabitEthernet1/0/0 所属zone为Trust，接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24，172.16.20.0/24，172.16.30.0/24，所属zone为Trust。 外网接口：GigabitEthernet1/0/1 所属zone为Untrust，接口IP为22.22.22.22/24。 缺省路由：目标网段0.0.0.0/0 出接口GE1/0/1，下一跳为GE1/0/1的网关IP为22.22.22.1。 安全策略：Trust访问Untrust，源地址、目标地址及服务均为any，动作放行。 NAT策略：源地址为内网网段，目标地址为ANY，动作为EasyIP，即转换为接口IP。 基础配置命令行示意如下： interface GigabitEthernet1/0/0 ip address 10.0.0.1 255.255.255.252 # interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 # ip route-static 0.0.0.0 0.0.0.0 22.22.22.1 ip route-static 172.16.10.0 255.255.255.0 10.0.0.2 ip route-static 172.16.20.0 255.255.255.0 10.0.0.2 ip route-static 172.16.30.0 255.255.255.0 10.0.0.2 # firewall zone trust set priority 85 import interface GigabitEthernet1/0/0 # firewall zone untrust set priority 5 import interface GigabitEthernet1/0/1 # ip address-set Customer-subnet172.16.10.0/24 type object address 0 172.16.10.0 mask 24 # ip address-set Customer-subnet172.16.20.0/24 type object address 0 172.16.20.0 mask 24 # ip address-set Customer-subnet172.16.30.0/24 type object address 0 172.16.30.0 mask 24 # security-policy rule name Policy-Internet policy logging session logging source-zone trust destination-zone untrust action permit # nat-policy rule name Snat_Internet source-zone trust egress-interface GigabitEthernet1/0/1 action nat easy-ip

IPsec配置指引 WEB页面VPN配置过程说明： 登录设备WEB管理界面，在导航栏中选择“网络 ＞ IPsec”，选择新建IPsec策略。 基本配置：命名策略，选择出接口为本端接口，本端地址为出接口公网IP，对端地址为华为云VPN网关IP，认证方式选择预共享密钥，密钥信息与华为云配置一致，本端ID及对端ID均选择IP地址。 待加密数据流：新建配置，源地址为客户侧子网网段，目标地址为华为云子网网段，多条子网请分开填写，填写的条目数为两端子网数量的乘积，协议选择any，动作允许。 安全提议：IKE参数与IPsec参数与华为云配置一致，注意IKE版本只勾选与华为云匹配的选项，推荐开启周期性DPD检测。 安全策略：添加客户侧私网网段与华为云私网网段互访的安全策略，服务为ANY，动作允许，推荐置顶这两条安全策略规则。 NAT策略：添加源地址为客户侧私网网段，目标为华为云私网网段动作为不做转换的nat规则，并将该规则置顶。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发，必须确保本地公网IP访问华为云的流量不被NAT。 确保访问目标子网的路由指向公网出接口下一跳。 待加密数据流的网段请填写真实IP和掩码，请勿调用地址对象。 若客户侧网络存在多出口时，请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出，推荐使用静态路由配置选择出口网络。 命令行配置说明： #增加地址对象 ip address-set HWCloud_subnet192.168.10.0/24 type object address 0 192.168.10.0 mask 24 # ip address-set HWCloud_subnet192.168.20.0/24 type object address 0 192.168.20.0 mask 24 #配置一阶段提议，ike v1与ike v2的配置方式相同，ikev1使用认证、加密，ikev2使用加密、完整性、prf ike proposal 100 authentication-algorithm sha2-256 encryption-algorithm aes-128 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 dh group14 sa duration 86400 #配置对等体，指定版本，调用一阶段提议（undo version 2时需要配置exchange-mode参数） ike peer IKE-PEER undo version 1 pre-shared-key ****** ike-proposal 100 remote-address 11.11.11.11 dpd type periodic #配置感兴趣流 acl number 3999 rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 2 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 4 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 6 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 #配置二阶段提议 IPsec proposal IPsec-PH2 transform esp encapsulation-mode tunnel esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 #配置IPsec policy，调用ike peer、二阶段提议、ACL，注意PFS配置 IPsec policy IPsec-HW 1 isakmp proposal IPsec-PH2 security acl 3999 ike-peer IKE-PEER tunnel local 22.22.22.22 pfs dh-group14 sa duration time-based 3600 #全局配置，设定TCP分片大小 firewall tcp-mss 1300 #IPsec policy 绑定接口 interface GigabitEthernet1/0/1 ip address B.B.B.Y 255.255.255.0 IPsec apply policy IPsec-HW # security-policy rule name IPsec-OUT policy logging session logging source-zone trust destination-zone untrust source-address address-set Customer-subnet172.16.10.0/24 source-address address-set Customer-subnet172.16.20.0/24 source-address address-set Customer-subnet172.16.30.0/24 destination-address address-set HWCloud_subnet192.168.10.0/24 destination-address address-set HWCloud_subnet192.168.20.0/24 action permit rule name IPsec-IN policy logging session logging source-zone untrust destination-zone trust source-address address-set HWCloud_subnet192.168.10.0/24 source-address address-set HWCloud_subnet192.168.20.0/24 destination-address address-set Customer-subnet172.16.10.0/24 destination-address address-set Customer-subnet172.16.20.0/24 destination-address address-set Customer-subnet172.16.30.0/24 action permit rule name IPsec-NEG-pass logging enable counting enable source-ip 11.11.11.11 255.255.255.255 source-ip 22.22.22.22 255.255.255.255 destination-ip 11.11.11.11 255.255.255.255 destination-ip 22.22.22.22 255.255.255.255 action permit rule name Policy-Internet …… # nat policy rule name IPsec_NONAT description IPsec_NONAT source-zone trust destination-zone untrust source-address address-set Customer-subnet172.16.10.0/24 source-address address-set Customer-subnet172.16.20.0/24 source-address address-set Customer-subnet172.16.30.0/24 destination-address address-set HWCloud_subnet192.168.10.0/24 destination-address address-set HWCloud_subnet192.168.20.0/24 action no-nat rule name Snat_Internet …… #路由配置，访问华为云子网路由由公网接口流出 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 22.22.22.1

华为云配置信息说明 VPN网关IP：11.11.11.11 VPC子网：192.168.10.0/24，192.168.20.0/24 客户侧网关IP：22.22.22.22 客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24 协商策略详情： 一阶段策略（IKE Policy） 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 版本（Version）: v2 DH算法（DH Algorithm ）: group14 生命周期（Life Cycle）: 86400 二阶段策略（IPsec Policy） 传输协议（Transfer Protocol）: esp 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 完美前向安全（PFS）：DH-group14 生命周期（Life Cycle）: 86400

IPsec配置指引 WEB页面的VPN配置过程说明： 登录设备WEB管理界面，在导航栏中选择“VPN ＞ IPsec”。 配置IKE提议：选择新建IKE提议，指定认证方式、认证算法、加密算法、DH、生命周期与华为云参数相同。 配置IPsec策略： 基本配置中选择设备角色为对等/分支节点，IP地址类型选择IPv4,接口选择外网接口，本地IP填写对接公网地址，对端IP地址填写华为云网关IP。 IKE策略中，协商模式与预共享秘密选择与华为相同配置，ike提议调用已创建提议，本端ID与对端ID均选择IPv4地址类型，值键入对应的公网IP。 保护数据流的源IP为本地私网网段，目的地址为华为云侧私网网段。 高级配置IPsec参数中封装模式、安全协议、认证算法、加密算法、PFS、生存时间均需要与华为云配置一致，建议开通DPD按时检测。 配置安全策略：添加客户侧私网网段与华为云私网网段互访的安全策略，服务为ANY，动作pass，推荐置顶这两条安全策略规则。 NAT策略：添加源地址为客户侧私网网段，目标为华为云私网网段动作为不做转换的nat规则，并将该规则置顶。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发，需要确保本地公网IP访问华为云的流量不被NAT。 确保访问目标子网的路由指向公网出接口下一跳。 待加密数据流的网段请填写真实IP和掩码，请勿调用地址对象。 若客户侧网络存在多出口时，请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出，推荐使用静态路由配置选择出口网络。 命令行配置说明： #增加地址对象 object-group ip address HWCloud_subnet192.168.10.0/24 0 network subnet 192.168.10.0 255.255.255.0 # object-group ip address HWCloud_subnet192.168.20.0/24 0 network subnet 192.168.20.0 255.255.255.0 #配置一阶段提议，算法详情与华为云相同 ikev2 proposal 100 encryption aes-cbc-128 integrity sha256 dh group14 prf sha256 # 配置两端协商PSK，PSK两端相同 ikev2 keychain IPsec-KEY peer keypeername address 11.11.11.11 255.255.255.255 pre-shared-key local plaintext ****** pre-shared-key remote plaintext ****** #配置IKEV2的Profile，调用PSK，匹配两端公网IP ikev2 profile IKE-PROFILE authentication-method local pre-share authentication-method remote pre-share keychain IPsec-KEY identity local address 22.22.22.22 match local address 22.22.22.22 match remote identity address 11.11.11.11 255.255.255.255 sa duration 86400 # 配置ike policy，类同ike对等体配置，调用ike阶段提议并与接口IP进行关联 ikev2 policy IKE-PEER proposal 100 match local address 22.22.22.22 # 配置感兴趣流 acl advanced 3999 rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 2 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 4 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 6 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 #配置二阶段提议 IPsec transform-set IPsec-PH2 encapsulation-mode tunnel esp authentication-algorithm sha256 esp encryption-algorithm aes-cbc-128 pfs dh-group14 #配置IPsec policy，调用感兴趣流和二阶段提议 IPsec policy IPsec-HW 1 isakmp transform-set IPsec-PH2 security acl 3999 local-address 22.22.22.22 remote-address 11.11.11.11 ikev2-profile IKE-PROFILE sa duration time-based 3600 #将IPsec policy绑定在协商接口下 interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 tcp mss 1300 IPsec apply policy IPsec-HW #配置安全策略，放行两端私网的数据互访，放行公网IP间互访流量 security-policy ip rule 1 name IPsec-OUT action pass logging enable counting enable source-zone Trust destination-zone Untrust source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 destination-ip HWCloud_subnet192.168.10.0/24 destination-ip HWCloud_subnet192.168.20.0/24 rule 2 name IPsec-IN action pass logging enable counting enable source-zone Untrust destination-zone Trust source-ip HWCloud_subnet192.168.10.0/24 source-ip HWCloud_subnet192.168.20.0/24 destination-ip Customer-subnet172.16.10.0/24 destination-ip Customer-subnet172.16.20.0/24 destination-ip Customer-subnet172.16.30.0/24 rule 3 name IPsec-NEG-pass action pass logging enable counting enable source-ip 11.11.11.11 255.255.255.255 source-ip 22.22.22.22 255.255.255.255 destination-ip 11.11.11.11 255.255.255.255 destination-ip 22.22.22.22 255.255.255.255 rule 0 name Policy-Internet …… #配置NAT策略，确保本地子网访问华为云子网no-nat nat policy rule name IPsec_NONAT source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 destination-ip HWCloud_subnet192.168.10.0/24 destination-ip HWCloud_subnet192.168.20.0/24 outbound-interface GigabitEthernet1/0/1 action no-nat rule name Snat_Internet …… #路由配置，访问华为云子网路由由公网接口流出 ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 B.B.B.1 …… 使用ikev1协商差异化配置说明： #无V2标识，算法有差异 ike proposal 100 authentication-algorithm sha256 encryption-algorithm aes-cbc-128 authentication-method pre-share dh group14 sa duration 86400 #无V2标识，一条命令完成协商PSK配置 ike keychain IPsec-KEY pre-shared-key address 11.11.11.11 255.255.255.255 key simple ******* #无V2标识，配置增加exchange-mode，直接调用一阶段提议，不用单独配置ike policy ike profile IKE-PROFILE keychain IPsec-KEY local-identity address 22.22.22.22 exchange-mode main /# ggressive dpd interval 3 periodic match remote identity address 11.11.11.11 255.255.255.255 match local address 22.22.22.22 proposal 100

客户侧设备组网与基础配置假设 假定客户侧基础网络配置如下： 内网接口：GigabitEthernet1/0/0 所属zone为Trust，接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24，172.16.20.0/24，172.16.30.0/24，所属zone为Trust。 外网接口：GigabitEthernet1/0/1 所属zone为Untrust，接口IP为22.22.22.22/24。 缺省路由：目标网段0.0.0.0/0 出接口GE1/0/1，下一跳为GE1/0/1的网关IP为22.22.22.1。 安全策略：Trust访问Untrust，源地址、目标地址及服务均为any，动作放行。 NAT策略：源地址为内网网段，目标地址为ANY，动作为EasyIP，即转换为接口IP。 基础配置命令行示意如下： interface GigabitEthernet1/0/0 ip address 10.0.0.1 255.255.255.252 # interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 # ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 22.22.22.1 ip route-static 172.16.10.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2 ip route-static 172.16.20.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2 ip route-static 172.16.30.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2 # security-zone name Trust import interface GigabitEthernet1/0/0 # security-zone name Untrust import interface GigabitEthernet1/0/1 # security-policy ip rule 0 name Policy-Internet action pass logging enable counting enable source-zone Trust destination-zone Untrust # object-group ip address Customer-subnet172.16.10.0/24 0 network subnet 172.16.10.0 255.255.255.0 # object-group ip address Customer-subnet172.16.20.0/24 0 network subnet 172.16.20.0 255.255.255.0 # object-group ip address Customer-subnet172.16.30.0/24 0 network subnet 172.16.30.0 255.255.255.0 # nat policy rule name Snat_Internet source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 outbound-interface GigabitEthernet1/0/1 action easy-ip port-preserved

华为云配置信息说明 VPN网关IP：11.11.11.11 VPC子网：192.168.10.0/24，192.168.20.0/24 客户侧网关IP：22.22.22.22 客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24 协商策略详情： 一阶段策略（IKE Policy） 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 版本（Version）: v2 DH算法（DH Algorithm ）: group14 生命周期（Life Cycle）: 86400 二阶段策略（IPsec Policy） 传输协议（Transfer Protocol）: esp 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 完美前向安全（PFS）：DH-group14 生命周期（Life Cycle）: 86400

防火墙侧操作步骤 登录防火墙设备的命令行配置界面。 不同防火墙型号及版本命令可能存在差异，配置时请以对应版本的产品文档为准。 配置基本信息。 配置防火墙接口的IP地址。 interface GigabitEthernet1/0/1 # 配置防火墙的公网IP地址。 ip address 1.1.1.1 255.255.255.0 interface GigabitEthernet1/0/2 # 配置防火墙的私网IP地址。 ip address 172.16.0.233 255.255.0.0 将接口划入对应zone。 firewall zone untrust add interface GigabitEthernet1/0/1 firewall zone trust add interface GigabitEthernet1/0/2 配置TCP MSS大小。 firewall tcp-mss 1300 配置协商策略。 ike proposal 100 # 配置防火墙公网IP地址和VPN网关主EIP的IKE策略相关配置 authentication-algorithm SHA2-256 # 和表3配置的IKE策略认证算法保持一致 encryption-algorithm AES-128 # 和表3配置的IKE策略加密算法保持一致 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 # 和表3配置的IKE策略DH算法保持一致 sa duration 86400 # 和表3配置的IKE策略生命周期保持一致 ike peer hwcloud_peer33 undo version 1 # 和表3配置的IKE策略IKE版本保持一致 pre-shared-key Test@123 # 和表3配置的预共享密钥保持一致 ike-proposal 100 remote-address 1.1.1.2 # 和VPN网关的主EIP保持一致 IPsec proposal IPsec-pro100 # 配置防火墙公网IP地址和VPN网关主EIP的IPsec策略相关配置 transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 # 和表3配置的IPsec策略认证算法保持一致 esp encryption-algorithm aes-128 # 和表3配置的IPsec策略加密算法保持一致 ike proposal 200 # 配置防火墙公网IP地址和VPN网关备EIP的相关配置，配置规则同上 authentication-algorithm SHA2-256 encryption-algorithm AES-128 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 sa duration 86400 ike peer hwcloud_peer44 undo version 1 pre-shared-key Test@123 ike-proposal 200 remote-address 2.2.2.2 # 和VPN网关的备EIP保持一致 IPsec proposal IPsec-pro200 transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 esp encryption-algorithm aes-128 配置IPsec隧道。 IPsec profile HW-IPsec100 # 配置防火墙公网IP地址对应的路由策略 ike-peer hwcloud_peer33 proposal IPsec-pro100 pfs dh-group15 # 和表3配置的IPsec策略PFS保持一致 sa duration time-based 3600 # 和表3配置的IPsec策略生命周期保持一致 interface Tunnel100 ip address 169.254.70.2 255.255.255.252 # 配置为防火墙的隧道接口1 IP地址 tunnel-protocol IPsec source 1.1.1.1 # 配置为防火墙的公网IP地址 destination 1.1.1.2 # 配置为VPN网关的主EIP service-manage ping permit IPsec profile HW-IPsec100 firewall zone untrust add interface Tunnel100 interface Tunnel200 ip address 169.254.71.2 255.255.255.252 # 配置为防火墙的隧道接口2 IP地址 tunnel-protocol IPsec source 1.1.1.1 # 配置为防火墙的公网IP地址 destination 2.2.2.2 # 配置为VPN网关的备EIP service-manage ping permit IPsec profile HW-IPsec200 firewall zone untrust add interface Tunnel200 配置路由信息。 配置华为云公网IP的静态路由。 ip route-static 1.1.1.2 255.255.255.255 1.1.1.1 # VPN网关主EIP+空格+255.255.255.255+空格+防火墙公网IP的网关地址 ip route-static 2.2.2.2 255.255.255.255 1.1.1.1 # VPN网关备EIP+空格+255.255.255.255+空格+防火墙公网IP的网关地址 配置BGP邻居和BGP路由。 bgp 64515 router-id 1.1.1.1 private-4-byte-as enable peer 169.254.70.1 as-number 64512 peer 169.254.70.1 connect-interface Tunnel100 peer 169.254.71.1 as-number 64512 peer 169.254.71.1 connect-interface Tunnel200 # ipv4-family unicast network 172.16.0.0 255.255.255.0 peer 169.254.70.1 enable peer 169.254.71.1 enable 配置安全策略。 ip address-set localsubnet172 type object # 定义地址对象 address 0 172.16.0.0 mask 16 # 配置用户数据中心的子网信息 ip address-set HWCsubnet192 type object address 0 192.168.0.0 mask 24 # 配置华为云VPC的子网信息 address 0 192.168.1.0 mask 24 security-policy rule name IPsec_permit1 source-zone untrust source-zone internet source-zone local destination-zone untrust destination-zone internet destination-zone local service ah esp service protocol udp destination-port 500 4500 action permit rule name IPsec_permit2 source-zone untrust source-zone internet source-zone trust destination-zone untrust destination-zone internet destination-zone trust source-address address-set localsubnet172 source-address address-set HWCsubnet192 destination-address address-set localsubnet172 destination-address address-set HWCsubnet192 action permit nat-policy rule name IPsec_subnet_bypass source-zone trust destination-zone untrust destination-zone internet source-address address-set localsubnet172 destination-address address-set HWCsubnet192 action no-nat 父主题： BGP路由模式

数据规划 表1 数据规划 部件 参数项 防火墙规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 备EIP：2.2.2.2 互联子网 - 192.168.2.0/24 BGP ASN 64515 64512 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group 15 DPD：45秒 华为云DPD默认为45秒，不支持配置。 生命周期（秒）：3600 父主题： BGP路由模式

操作步骤 登录防火墙设备的命令行配置界面。 不同防火墙型号及版本命令可能存在差异，配置时请以对应版本的产品文档为准。 配置基本信息。 配置防火墙接口的IP地址。 interface GigabitEthernet1/0/1 # 配置防火墙的公网IP地址。 ip address 1.1.1.1 255.255.255.0 interface GigabitEthernet1/0/2 # 配置防火墙的私网IP地址。 ip address 172.16.0.233 255.255.255.0 将接口划入对应zone。 firewall zone untrust add interface GigabitEthernet1/0/1 firewall zone trust add interface GigabitEthernet1/0/2 配置TCP MSS大小。 firewall tcp-mss 1300 配置协商策略。 ike proposal 100 # 配置防火墙公网IP地址和VPN网关主EIP的IKE策略相关配置 authentication-algorithm SHA2-256 # 和表3配置的IKE策略认证算法保持一致 encryption-algorithm AES-128 # 和表3配置的IKE策略加密算法保持一致 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 # 和表3配置的IKE策略DH算法保持一致 sa duration 86400 # 和表3配置的IKE策略生命周期保持一致 ike peer hwcloud_peer33 undo version 1 # 和表3配置的IKE策略IKE版本保持一致 pre-shared-key XXXXXXX # 和表3配置的预共享密钥保持一致 ike-proposal 100 remote-address 1.1.1.2 # 和VPN网关的主EIP保持一致 IPsec proposal IPsec-pro100 # 配置防火墙公网IP地址和VPN网关主EIP的IPsec策略相关配置 transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 # 和表3配置的IPsec策略认证算法保持一致 esp encryption-algorithm aes-128 # 和表3配置的IPsec策略加密算法保持一致 ike proposal 200 # 配置防火墙公网IP地址和VPN网关备EIP的相关配置，配置规则同上 authentication-algorithm SHA2-256 encryption-algorithm AES-128 authentication-method pre-share integrity-algorithm HMAC-SHA2-256 prf HMAC-SHA2-256 dh group15 sa duration 86400 ike peer hwcloud_peer44 undo version 1 pre-shared-key XXXXXXX ike-proposal 200 remote-address 2.2.2.2 # 和VPN网关的备EIP保持一致 IPsec proposal IPsec-pro200 transform esp encapsulation-mode tunnel esp authentication-algorithm SHA2-256 esp encryption-algorithm aes-128 配置IPsec隧道。 IPsec profile HW-IPsec100 # 配置防火墙公网IP地址对应的路由策略 ike-peer hwcloud_peer33 proposal IPsec-pro100 pfs dh-group15 # 和表3配置的IPsec策略PFS保持一致 sa duration time-based 3600 # 和表3配置的IPsec策略生命周期保持一致 interface Tunnel100 ip address 169.254.70.2 255.255.255.252 # 配置为防火墙的隧道接口1 IP地址 tunnel-protocol IPsec source 1.1.1.1 # 配置为防火墙的公网IP地址 destination 1.1.1.2 # 配置为VPN网关的主EIP service-manage ping permit IPsec profile HW-IPsec100 firewall zone untrust add interface Tunnel100 interface Tunnel200 ip address 169.254.71.2 255.255.255.252 # 配置为防火墙的隧道接口2 IP地址 tunnel-protocol IPsec source 1.1.1.1 # 配置为防火墙的公网IP地址 destination 2.2.2.2 # 配置为VPN网关的备EIP service-manage ping permit IPsec profile HW-IPsec200 firewall zone untrust add interface Tunnel200 配置路由信息。 配置华为云公网IP的静态路由。 ip route-static 1.1.1.2 255.255.255.255 1.1.1.1 # VPN网关主EIP+空格+255.255.255.255+空格+防火墙公网IP的网关地址 ip route-static 2.2.2.2 255.255.255.255 1.1.1.1 # VPN网关备EIP+空格+255.255.255.255+空格+防火墙公网IP的网关地址 配置华为云私网IP的静态路由。 ip route-static 192.168.0.0 255.255.255.0 Tunnel100 1.1.1.2 ip route-static 192.168.0.0 255.255.255.0 Tunnel200 2.2.2.2 格式为ip route-static VPC子网1+空格+子网掩码+空格+Tunnel口编号+VPN主EIP/备EIP。 如果存在多个VPC子网，则需要为每个VPC子网配置两条路由。 配置安全策略。 ip address-set localsubnet172 type object # 定义地址对象 address 0 172.16.0.0 mask 24 # 配置用户数据中心的子网信息 ip address-set HWCsubnet192 type object address 0 192.168.0.0 mask 24 # 配置华为云VPC的子网信息 security-policy rule name IPsec_permit1 source-zone untrust source-zone internet source-zone local destination-zone untrust destination-zone internet destination-zone local service ah esp service protocol udp destination-port 500 4500 action permit rule name IPsec_permit2 source-zone untrust source-zone internet source-zone trust destination-zone untrust destination-zone internet destination-zone trust source-address address-set localsubnet172 source-address address-set HWCsubnet192 destination-address address-set localsubnet172 destination-address address-set HWCsubnet192 action permit nat-policy rule name IPsec_subnet_bypass source-zone trust destination-zone untrust destination-zone internet source-address address-set localsubnet172 destination-address address-set HWCsubnet192 action no-nat

数据规划 表1 数据规划 部件 参数项 华为USG防火墙规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 备EIP：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group 15 DPD：45秒 华为云DPD默认为45秒，不支持配置。 生命周期（秒）：3600 父主题： 静态路由模式

数据规划 表1 数据规划 部件 参数项 腾讯云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group14 DPD：45秒 华为云DPD默认为45秒，不支持配置。 父主题： 静态路由模式

数据规划 表1 数据规划 类别 规划项 规划值 华为云VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 华为云VPN网关 互联子网 用于VPN网关和用户数据中心的VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 strongSwan侧 VPC 待互通子网 172.16.0.0/16 strongSwan侧 VPN网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 私网IP地址 本示例假设私网IP地址如下： 172.16.0.233 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：sha1 加密算法：aes128 DH算法：group 2 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：sha1 加密算法：aes128 PFS：group 2 传输协议：ESP 生命周期（秒）：86400

数据规划 表1 数据规划 类别 规划项 规划值 华为云VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 华为云VPN网关 互联子网 用于VPN网关和用户数据中心的VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 strongSwan侧 VPC 待互通子网 172.16.0.0/16 strongSwan侧 VPN网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 私网IP地址 本示例假设私网IP地址如下： 172.16.0.195 VPN连接 连接1配置Tunnel接口地址 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 连接2配置Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：sha1 加密算法：aes128 DH算法：group 2 版本：v2 生命周期（秒）：86400 IPsec策略 认证算法：sha1 加密算法：aes128 PFS：group 2 生命周期（秒）：86400

数据规划 表1 数据规划 部件 参数项 深信服防火墙规划示例 华为云规划示例 VPC 待互通子网 172.16.0.0/24 172.16.1.0/24 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 IKE策略 认证算法：SHA2-256 加密算法：AES-256 DH算法：Group 15 版本：v2 生命周期（秒）：28800 对端标识：IP Address 本端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-256 PFS：DH Group 15 传输协议：ESP 生命周期（秒）：3600 报文封装模式：TUNNEL

数据规划 表1 数据规划 部件 参数项 山石防火墙规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（山石防火墙上行公网网口GE0/0的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 IKE策略 版本：v1 协商模式：Main 认证算法：SHA2-256 加密算法：AES-256 DH算法：Group 15 生命周期（秒）：86400 本端标识：FQDN 对端标识：FQDN IPsec策略 认证算法：SHA2-256 加密算法：AES-256 PFS：DH Group 15 生命周期（秒）：28800 父主题： 策略模式

数据规划 表1 数据规划 部件 参数项 规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（山石防火墙上行公网网口GE0/0的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 BGP ASN 64515 64512 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 版本：v1 协商模式：Main 认证算法：SHA2-256 加密算法：AES-256 DH算法：Group 15 生命周期（秒）：86400 本端标识：FQDN 对端标识：FQDN IPsec策略 认证算法：SHA2-256 加密算法：AES-256 PFS：DH Group 15 生命周期（秒）：28800 父主题： BGP路由模式

数据规划 表1 数据规划 部件 参数项 山石防火墙规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（山石防火墙上行公网网口GE0/0的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 “连接1配置”中的Tunnel接口地址 本端隧道接口地址：169.254.70.2/30 对端隧道接口地址：169.254.70.1/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.2/30 对端隧道接口地址：169.254.71.1/30 IKE策略 版本：v1 协商模式：Main 认证算法：SHA2-256 加密算法：AES-256 DH算法：Group 15 生命周期（秒）：86400 本端标识：FQDN 对端标识：FQDN IPsec策略 认证算法：SHA2-256 加密算法：AES-256 PFS：DH Group 15 生命周期（秒）：28800 父主题： 静态路由模式

数据规划 表1 数据规划 部件 参数项 AR路由器规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（AR路由器上行公网网口GE0/0/8的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 14 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group 14 传输协议：ESP 生命周期（秒）：3600

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图 操作流程所示。 图2 操作流程 表2 操作流程说明 序号 在哪里操作 步骤 说明 1 管理控制台 创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 创建对端网关 添加AR路由器作为对端网关。 3 创建VPN连接 VPN网关的主EIP、主EIP2和连接1对端网关、连接2对端网关创建一组VPN连接。 连接2配置的连接模式、预共享密钥、IKE/IPsec策略建议和连接1配置保持一致。 4 AR命令配置界面 AR路由器侧操作步骤 AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 5 - 结果验证 执行ping命令，验证网络互通情况。