华为云用户手册

拓扑连接 如图 多出口客户网络通过VPN接入VPC连接拓扑所示，用户数据中心存在多个互联网出口，当前指定11.11.11.11的物理接口和华为云的VPC建立VPN连接，本地子网网段为10.10.0.0/16，华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为22.22.22.22，现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 多出口客户网络通过VPN接入VPC连接拓扑 华为云端的VPN连接资源策略配置按照缺省信息配置，详见图2。 图2 策略配置

命令行配置 物理接口配置 config system interface edit "port1" set vdom "root" set ip 11.11.11.11 255.255.255.0 set type physical next edit "IPsec" //隧道接口配置信息 set vdom "root" set type tunnel set interface "port1" //隧道绑定的物理接口 next end 接口划分区域配置 config system zone edit "trust" set intrazone allow set interface "A1" next edit "untrust" set intrazone allow set interface "port1 " next end 地址对象配置 config firewall address edit "hw-172.16.0.0/24" set uuid f612b4bc-5487-51e9-e755-08456712a7a0 set subnet 172.16.0.0 255.255.255.0 //云端地址网段 next edit "local-10.10.0.0/16" set uuid 9f268868-5489-45e9-d409-5abc9a946c0c set subnet 10.10.0.0 255.255.0.0 //本地地址网段 next IPsec配置 config vpn IPsec phase1-interface //一阶段配置 edit "IPsec" set interface "port1" set nattraversal disable set proposal aes128-sha1 set comments "IPsec" set dhgrp 5 set remote-gw 22.22.22.22 set psksecret ENC dmFyLzF4tRrIjV3T+lSzhQeU2nGEoYKC31NaYRWFJl8krlwNmZX5SfwUi5W5RLJqFu82VYKYsXp5+HZJ13VYY8O2Sn/vruzdLxqu84zbHEIQkTlf5n/63KEru1rRoNiHDTWfh3A3ep3fKJmxf43pQ7OD64t151ol06FMjUBLHgJ1ep9d32Q0F3f3oUxfDQs21Bi9RA== next end config vpn IPsec phase2-interface //二阶段配置 edit "IP-TEST" set phase1name "IPsec " set proposal aes128-sha1 set dhgrp 5 set keylifeseconds 3600 set src-subnet 10.10.0.0 255.255.0.0 set dst-subnet 172.16.0.0 255.255.255.0 next end 访问策略配置 config firewall policy edit 15 //策略编号15，流入至内网策略，未启用NAT set uuid 4f452870-ddb2-51e5-35c9-38a987ebdb6c set srcintf "IPsec" set dstintf "trust" set srcaddr "hw-172.16.0.0/24" set dstaddr "local-10.10.0.0/16" set action accept set schedule "always" set service "ALL" set logtraffic all next edit 29 //策略编号29，流出至云端策略，未启用NAT set uuid c2d0ec77-5254-51e9-80dc-2813ccf51463 set srcintf "trust" set dstintf "IPsec" set srcaddr "local-10.10.0.0/16" set dstaddr "hw-172.16.0.0/24" set action accept set schedule "always" set service "ALL" set logtraffic all next 路由配置 config router static edit 24 //路由编号24，访问云端静态路由 set dst 172.16.0.0 255.255.255.0 set gateway 11.11.11.1 set distance 10 set device "port1" config router policy edit 2 //策略路由编号2，云下访问云端策略路由 set input-device "A1" set src "10.10.00/255.255.0.0" set dst "172.16.0.0/255.255.255.0" set gateway 11.11.11.1 set output-device "port1"

配置步骤 IPsec基础配置 登录防火墙管理页面，选择“网络 ＞ IPsec”，新建IPsec连接，详情如图4所示。 图3 新建IPsec连接1 图4 新建IPsec连接2 表1 新建IPsec参数设置 参数名称 说明 虚拟系统 选择默认即可。 策略名称 客户自行指定。 本端接口 配置对接本端公网IP的接口。 本端地址 本端公网IP。 对端地址 对端公网IP。 认证方式 预共享密钥。 本端ID与对端ID IP地址，并填入对应的公网IP。 待加密数据流 源地址为云下子网，目标地址为云上子网，请勿使用地址组名称配置。 安全提议 按照华为云策略配置，要求两端配置信息一致。 DPD 勾选DPD，选择按需发送，配置信息默认即可。 路由配置 选择“网络 ＞ 路由 ＞ 静态路由”，新建一条目的为华为云子网的静态路由，下一跳指向本地出接口网关IP。 图5 新建静态路由 表2 新建静态路由参数设置 参数名称 说明 协议类型 IPv4。 源虚拟路由器 选择默认的“public”。 目的地址/掩码 云端子网地址。 目的虚拟路由器 选择默认的“public”。 出接口 本端公网IP配置的接口。 下一跳 本端公网地址下一跳。 其余配置默认即可，存在多出口时，需额外添加访问云端公网IP从此出接口流出的路由。 NAT配置 选择“策略 ＞ NAT策略 ＞ 源NAT”，新建一条本地子网访问华为云不做NAT转换的策略。 图6 新建源NAT策略 表3 新建源NAT策略参数设置 参数名称 说明 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any 转换方式 不做NAT转换 为确保该策略优先匹配，请将该策略置顶。 请注意接口地址出外网不做NAT转换。 例如已配置缺省策略：源区域为any，访问目标区域any，出口转换为接口地址。请额外添加一条NAT策略：源区域为local，目标区域为any，转换方式为不做NAT转换，并将该策略置于缺省策略之上。 安全策略配置 选择“策略 ＞ 安全策略 ＞ 安全策略”，新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any。 动作 允许 为确保该策略优先匹配，请将该策略置顶。

配置步骤 场景一：桌面云+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。 图5 全局参数配置 IKE第一阶段配置 右键单击“VPN配置”，选择“新建第一阶段”，本实例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图6。 图6 IKE第一阶段配置 接口：选择本地用于VPN连接的网卡接口。 远端网关：VPC云端购买的VPN网关。 预共享密钥：与华为云端配置一致【huawei@123】。 IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。 第一阶段高级信息按缺省配置，证书无需配置。 若高级信息中配置本端和远端ID，推荐选择IP。 可选配置【本端ID】：IP地址10.119.156.78 //选择本端建立VPN的连接地址 可选配置【远端ID】：IP地址10.154.71.9 //选择远端建立VPN的网关IP IKE阶段高级配置信息请参见图7。 图7 高级配置信息 IPsec第二阶段配置 右键单击“第一阶段”，选择“新建第二阶段”，本实例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图8。 图8 IPsec第二阶段配置 VPN客户端地址：10.119.156.78 //选择安装客户端桌面云的真实IP 地址类型：子网地址 远端LAN地址：192.168.11.0 //VPC侧的子网 子网掩码：255.255.255.0 //VPC侧的子网掩码 ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。 PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。 高级和脚本保持默认配置即可。 Remote Sharing配置需要将VPC云端的E CS 主机IP进行添加。 图9 Remote Sharing配置 所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具 ＞重置IKE”，待IKE重置后再重新开启隧道。 场景二：VPC+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。 图10 全局参数配置2 IKE第一阶段配置 右键单击“VPN配置”，选择“新建第一阶段”，本实例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图11。 图11 IKE第一阶段配置2 接口：选择本地用于VPN连接的网卡接口。 远端网关：VPC云端购买的VPN网关。 预共享密钥：与华为云端配置一致【huawei@123】。 IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。 第一阶段高级信息按缺省配置，证书无需配置。 在高级信息中配置本端和远端ID，推荐选择IP； //此配置区别于桌面云 必选配置【本端ID】：IP地址122.112.215.214 //选择本端建立VPN连接EIP 必选配置【远端ID】：IP地址117.78.30.55 //选择远端建立VPN的网关IP IKE阶段高级配置信息请参见图12。 图12 IKE阶段高级配置信息2 IPsec第二阶段配置 右键单击“第一阶段”，选择“新建第二阶段”，本实例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图13。 图13 IPsec第二阶段配置 VPN客户端地址：192.168.222.225 //选择安装客户端虚拟机的真实IP 地址类型：子网地址 远端LAN地址：192.168.111.0 //VPC侧的子网 子网掩码：255.255.255.0 //VPC侧的子网掩码 ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。 PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。 高级和脚本保持默认配置即可。 远程分享配置需要将VPC云端的ECS主机IP进行添加。 图14 远程分享配置 所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具 ＞ 重置IKE”，IKE重置后再重新开启隧道。

配置验证 场景一验证 在桌面云与VPC连接的场景中，桌面云最终可访问VPC远端虚拟机。 桌面云VPN连接在开启隧道后，若配置正确，第一阶段创建的图示会很快切换为第二阶段，第二阶段和隧道建立成功。如下图所示。 图15 发送第二阶段 图16 隧道开启 VPN连接建立成功如下图所示。 图17 VPN连接建立成功 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。 图18 VPN连接状态 查看桌面云网络配置信息，如下图所示。 图19 桌面云网络配置信息 桌面云 Ping 云端VPC虚拟机 图20 桌面云 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping 桌面云 图21 云端虚拟机 Ping 桌面云 场景一验证成功。 场景二验证 在VPC+VPC连接的场景中，VPC1的虚拟机和VPC安装客户端的虚拟机应该可以互通。 VPN连接过程，开启隧道后，若配置正确，第一阶段创建的图示会很快切换为第二阶段，第二阶段和隧道建立成功。如下图所示。 图22 发送第二阶段2 图23 隧道已开启2 VPN连接建立成功。如下图所示。 图24 VPN连接建立成功2 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。 图25 VPN连接状态2 查看VPC网络配置信息。如下图所示。 图26 VPC网络配置信息 VPC内的虚拟机 Ping 云端VPC虚拟机 图27 VPC内的虚拟机 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping VPC内的虚拟机 图28 云端VPC虚拟机 Ping VPC内的虚拟机 场景二验证成功。

前提条件 场景一：桌面云+VPC 云端完成VPC、子网和ECS配置。 云端完成VPN网关和连接配置。 图1 策略详情 云桌面 完成TheGreenBow IPsec VPN Client 客户端安装。 桌面云可Ping VPN网关IP地址。 图2 桌面云Ping VPN连接 场景二：VPC+VPC 完成两个区域的VPC、子网和ECS配置，其中一个区域的ECS必须为Windows（VPC2）。 在VPC1完成VPN网关和VPN连接配置。 图3 策略详情2 VPC2中的Windows虚拟机安装TheGreenBow IPsec VPN Client 客户端。 VPC2虚拟机可Ping VPC1上的VPN网关IP地址。 图4 VPC虚拟机Ping VPN网关 华为云端的VPN配置信息采用默认配置。

操作场景 本文档详细的描述了“VPC+云桌面”和“VPC+VPC”场景下，使用TheGreenBow IPsec VPN Clinet软件与华为云端建立VPN连接的配置指导。 本任务指导您使用The GreenBow IPsec VPN Client测试VPN云连接配置，通过两个应用场景分别说明了IPsec VPN Client的配置信息，场景配置信息说明如下。 场景一：桌面云安装客户端与VPC上的VPN网关互联。 受客户端限制，桌面云需为Windows操作系统。 桌面云可Ping通云端VPC的VPN网关IP（Ping不通无法建立VPN连接）。 场景二：VPC1上的ECS安装客户端与VPC2上的VPN网关互联。 VPC1上的Windows虚拟机需要购买EIP。 VPC1的虚拟机可Ping通VPC2上的VPN网关IP（Ping不通无法建立VPN连接）。

简介 欢迎使用 虚拟专用网络 （VPN）管理员指南，该指南可以帮助您配置本地的VPN设备，实现您本地网络与华为云VPC子网的互联互通。 VPN连接将您的数据中心或（或网络）连接到您的VPC，对端网关指用户端使用的定位标记，它可以是物理或软件设备。详细配置示例请参见： 示例：HUAWEI USG6600配置 示例：Fortinet飞塔防火墙VPN配置 示例：深信服防火墙配置 示例：使用TheGreenBow IPsec VPN Client配置云上云下互通 示例：使用OpenSwan配置云上云下互通 示例：使用StrongSwan配置云上云下互通 示例：Web配置华为USG防火墙 父主题： 适用于经典版VPN

配置验证 场景一验证 在桌面云与VPC连接的场景中，桌面云最终可访问VPC远端虚拟机。 桌面云VPN连接在开启隧道后，若配置正确，第一阶段创建的图示会很快切换为第二阶段，第二阶段和隧道建立成功。如下图所示。 图15 发送第二阶段 图16 隧道开启 VPN连接建立成功如下图所示。 图17 VPN连接建立成功 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。 图18 VPN连接状态 查看桌面云网络配置信息，如下图所示。 图19 桌面云网络配置信息 桌面云 Ping 云端VPC虚拟机 图20 桌面云 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping 桌面云 图21 云端虚拟机 Ping 桌面云 场景一验证成功。 场景二验证 在VPC+VPC连接的场景中，VPC1的虚拟机和VPC安装客户端的虚拟机应该可以互通。 VPN连接过程，开启隧道后，若配置正确，第一阶段创建的图示会很快切换为第二阶段，第二阶段和隧道建立成功。如下图所示。 图22 发送第二阶段2 图23 隧道已开启2 VPN连接建立成功。如下图所示。 图24 VPN连接建立成功2 查看云端VPC中VPN连接状态。连接状态由“未连接”变为“正常”。 图25 VPN连接状态2 查看VPC网络配置信息。如下图所示。 图26 VPC网络配置信息 VPC内的虚拟机 Ping 云端VPC虚拟机 图27 VPC内的虚拟机 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping VPC内的虚拟机 图28 云端VPC虚拟机 Ping VPC内的虚拟机 场景二验证成功。

配置步骤 场景一：桌面云+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。 图5 全局参数配置 IKE第一阶段配置 右键单击“VPN配置”，选择“新建第一阶段”，本实例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图6。 图6 IKE第一阶段配置 接口：选择本地用于VPN连接的网卡接口。 远端网关：VPC云端购买的VPN网关。 预共享密钥：与华为云端配置一致【huawei@123】。 IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。 第一阶段高级信息按缺省配置，证书无需配置。 若高级信息中配置本端和远端ID，推荐选择IP。 可选配置【本端ID】：IP地址10.119.156.78 //选择本端建立VPN的连接地址 可选配置【远端ID】：IP地址10.154.71.9 //选择远端建立VPN的网关IP IKE阶段高级配置信息请参见图7。 图7 高级配置信息 IPsec第二阶段配置 右键单击“第一阶段”，选择“新建第二阶段”，本实例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图8。 图8 IPsec第二阶段配置 VPN客户端地址：10.119.156.78 //选择安装客户端桌面云的真实IP 地址类型：子网地址 远端LAN地址：192.168.11.0 //VPC侧的子网 子网掩码：255.255.255.0 //VPC侧的子网掩码 ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。 PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。 高级和脚本保持默认配置即可。 Remote Sharing配置需要将VPC云端的ECS主机IP进行添加。 图9 Remote Sharing配置 所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具 ＞重置IKE”，待IKE重置后再重新开启隧道。 场景二：VPC+VPC场景的客户端配置 全局参数配置 修改IKE和IPsec的默认生存时间（非关键配置步骤，选配），建议不勾选断线侦测。 图10 全局参数配置2 IKE第一阶段配置 右键单击“VPN配置”，选择“新建第一阶段”，本实例中使用客户端软件已有的第一阶段进行配置，配置信息请参见图11。 图11 IKE第一阶段配置2 接口：选择本地用于VPN连接的网卡接口。 远端网关：VPC云端购买的VPN网关。 预共享密钥：与华为云端配置一致【huawei@123】。 IKE：与华为云端一致。加密【AES128】、验证【SHA-1】、密钥组【DH5(1536)】。 第一阶段高级信息按缺省配置，证书无需配置。 在高级信息中配置本端和远端ID，推荐选择IP； //此配置区别于桌面云 必选配置【本端ID】：IP地址122.112.215.214 //选择本端建立VPN连接EIP 必选配置【远端ID】：IP地址117.78.30.55 //选择远端建立VPN的网关IP IKE阶段高级配置信息请参见图12。 图12 IKE阶段高级配置信息2 IPsec第二阶段配置 右键单击“第一阶段”，选择“新建第二阶段”，本实例中使用客户端软件已有的第二阶段进行配置，配置信息请参见图13。 图13 IPsec第二阶段配置 VPN客户端地址：192.168.222.225 //选择安装客户端虚拟机的真实IP 地址类型：子网地址 远端LAN地址：192.168.111.0 //VPC侧的子网 子网掩码：255.255.255.0 //VPC侧的子网掩码 ESP：与华为云端配置一致。加密【AES128】、验证【SHA-1】、模式【隧道】。 PSF：与华为云端配置一致。勾选PFS、群组【DH5(1536)】。 高级和脚本保持默认配置即可。 远程分享配置需要将VPC云端的ECS主机IP进行添加。 图14 远程分享配置 所有配置完成后请单击“保存”，后续修改配置信息请先保存再发起连接，否则更改配置信息不生效，建立连接在第二阶段页签点击右键，选择“开启隧道”，在调试过程中若修改过配置参数，请在保存后选择“工具 ＞ 重置IKE”，IKE重置后再重新开启隧道。

前提条件 场景一：桌面云+VPC 云端完成VPC、子网和ECS配置。 云端完成VPN网关和连接配置。 图1 策略详情 云桌面完成TheGreenBow IPsec VPN Client 客户端安装。 桌面云可Ping VPN网关IP地址。 图2 桌面云Ping VPN连接 场景二：VPC+VPC 完成两个区域的VPC、子网和ECS配置，其中一个区域的ECS必须为Windows（VPC2）。 在VPC1完成VPN网关和VPN连接配置。 图3 策略详情2 VPC2中的Windows虚拟机安装TheGreenBow IPsec VPN Client 客户端。 VPC2虚拟机可Ping VPC1上的VPN网关IP地址。 图4 VPC虚拟机Ping VPN网关 华为云端的VPN配置信息采用默认配置。

操作场景 本文档详细的描述了“VPC+云桌面”和“VPC+VPC”场景下，使用TheGreenBow IPsec VPN Clinet软件与华为云端建立VPN连接的配置指导。 本任务指导您使用The GreenBow IPsec VPN Client测试VPN云连接配置，通过两个应用场景分别说明了IPsec VPN Client的配置信息，场景配置信息说明如下。 场景一：桌面云安装客户端与VPC上的VPN网关互联。 受客户端限制，桌面云需为Windows操作系统。 桌面云可Ping通云端VPC的VPN网关IP（Ping不通无法建立VPN连接）。 场景二：VPC1上的ECS安装客户端与VPC2上的VPN网关互联。 VPC1上的Windows虚拟机需要购买EIP。 VPC1的虚拟机可Ping通VPC2上的VPN网关IP（Ping不通无法建立VPN连接）。

配置步骤 登录防火墙设备的命令行配置界面。 查看防火墙版本信息。 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) 创建ACL并绑定到对应的vpn-instance。 acl number 3065 vpn-instance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q 创建ike proposal。 ike proposal 64 dh group5 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q 创建ike peer，并引用之前创建的ike proposal，其中对端IP地址是1.1.1.1。 ike peer vpnikepeer_64 pre-shared-key ******** （********为您输入的预共享密码） ike-proposal 64 undo version 2 remote-address vpn-instance vpn64 1.1.1.1 sa binding vpn-instance vpn64 q 创建IPsec协议。 IPsec proposal IPsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q 创建IPsec策略，并引用ike policy和IPsec proposal。 IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal IPsecpro64 local-address xx.xx.xx.xx q 将IPsec策略应用到相应的子接口上去。 interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q 测试连通性。 在上述配置完成后，我们可以利用您在云中的主机和您数据中心的主机进行连通性测试，如下图所示：

拓扑连接 本场景拓扑连接及策略协商配置信息如图 拓扑连接及策略协商配置信息所示。 云上VPC的VPN网关IP：11.11.11.11，本地子网：192.168.200.0/24。 客户主机NAT映射IP：22.22.22.22，本地子网：192.168.222.0/24。 云端ECS与客户主机的本地IP地址分别为192.168.200.200和192.168.222.222。 VPN连接的协商参数使用华为云缺省配置。 图1 拓扑连接及策略协商配置信息

数据规划 表1 数据规划 部件 参数项 阿里云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 BGP ASN 65515 64512 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 版本：v2 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group14

简介 欢迎使用虚拟专用网络（VPN）管理员指南，该指南可以帮助您配置本地的VPN设备，实现您本地网络与华为云VPC子网的互联互通。 VPN连接将您的数据中心或（或网络）连接到您的VPC，对端网关指用户端使用的定位标记，它可以是物理或软件设备。详细配置示例请参见： 示例：HUAWEI USG6600配置 示例：Fortinet飞塔防火墙VPN配置 示例：深信服防火墙配置 示例：使用TheGreenBow IPsec VPN Client配置云上云下互通 示例：使用OpenSwan配置云上云下互通 示例：使用StrongSwan配置云上云下互通 示例：Web配置华为USG防火墙 父主题： 适用于经典版VPN

数据规划 表1 数据规划 部件 参数项 华为USG防火墙规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：28800 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group 15 DPD：45秒 华为云DPD默认为45秒，不支持配置。 生命周期（秒）：3600 父主题： 静态路由模式

数据规划 表1 数据规划 部件 参数项 AR路由器规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（AR路由器上行公网网口GE0/0/8的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 BGP ASN 64515 64512 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 14 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group 14 传输协议：ESP 生命周期（秒）：3600

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图2所示。 图2 操作流程 表2 操作流程说明 序号 在哪里操作 步骤 说明 1 管理控制台 创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 创建对端网关 添加AR路由器作为对端网关。 3 创建第一条VPN连接 VPN网关的主EIP和对端网关组建第一条VPN连接。 4 创建第二条VPN连接 VPN网关的主EIP2和对端网关组建第二条VPN连接。 第二条VPN连接的连接模式、预共享密钥、IKE/IPsec策略建议和第一条VPN连接配置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令，验证网络互通情况。

数据规划 表1 数据规划 部件 参数项 AR路由器规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（AR路由器上行公网网口GE0/0/8的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 IPsec策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 14 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group 14 传输协议：ESP 生命周期（秒）：3600

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图2所示。 图2 操作流程 表2 操作流程说明 序号 在哪里操作 步骤 说明 1 管理控制台 创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 创建对端网关 添加AR路由器作为对端网关。 3 创建第一条VPN连接 VPN网关的主EIP和对端网关组建第一条VPN连接。 4 创建第二条VPN连接 VPN网关的主EIP2和对端网关组建第二条VPN连接。 第二条VPN连接的连接模式、预共享密钥、IKE/IPsec策略建议和第一条VPN连接配置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令，验证网络互通情况。

数据规划 表1 数据规划 部件 参数项 阿里云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group14

数据规划 表1 数据规划 部件 参数项 腾讯云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group14 DPD：45秒 华为云DPD默认为45秒，不支持配置。 父主题： 静态路由模式

操作流程 通过VPN实现数据中心和VPC互通的操作流程如图2所示。 图2 操作流程 表2 操作流程说明 序号 在哪里操作 步骤 说明 1 管理控制台 创建VPN网关 VPN网关需要绑定两个EIP作为出口公网IP。 如果您已经购买EIP，则此处可以直接绑定使用。 2 创建对端网关 添加AR路由器作为对端网关。 3 创建第一条VPN连接 VPN网关的主EIP和对端网关组建第一条VPN连接。 4 创建第二条VPN连接 VPN网关的主EIP2和对端网关组建第二条VPN连接。 第二条VPN连接的连接模式、预共享密钥、IKE/IPsec策略建议和第一条VPN连接配置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器配置的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器配置的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令，验证网络互通情况。

数据规划 表1 数据规划 部件 参数项 AR路由器规划示例 华为云规划示例 VPC 子网 172.16.0.0/16 192.168.0.0/24 192.168.1.0/24 VPN网关 网关IP 1.1.1.1（AR路由器上行公网网口GE0/0/8的接口IP） 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 隧道接口地址 tunnel1：169.254.70.1/30 tunnel2：169.254.71.1/30 tunnel1：169.254.70.2/30 tunnel2：169.254.71.2/30 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 14 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH group 14 传输协议：ESP 生命周期（秒）：3600

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“./easyrsa init-pki”命令，初始化PKI环境。 系统显示如下类似信息： Notice ------ 'init-pki' complete; you may now create a CA or requests. Your newly created PKI dir is: * D:/EasyRSA-3.1.7/pki Using Easy-RSA configuration: * undefined EasyRSA Shell # 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 执行“ ./easyrsa build-ca nopass”命令，生成CA证书。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .....+..+.............+......+........+...+...+....+++++++++++++++++++++++++++++++++++++++*.+.+.....+..........+............+...+++++++++++++++++++++++++++++++++++++++*............+.....+......+...+....+..+..........+.....+....+...............+..+.........+.............+......+..+...+....+..+.+.........+.....+.........+....+............+...+...+.....+........................+...+.+.....+....+...+.........+...+...+...+.....+......+........................++++++ .+++++++++++++++++++++++++++++++++++++++*.........+..........+++++++++++++++++++++++++++++++++++++++*.+......++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn.com //设置CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7/pki/ca.crt EasyRSA Shell # 查看CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行 “./easyrsa build-server-full p2cserver.com nopass”命令，生成服务端证书及其私钥。 此命令中，“p2cserver.com”为证书的CN，必须是 域名 格式，否则无法正常托管到 云证书管理服务 ,请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+............+........+............+............+.+...............+.....+....+....................+............+.+..+......+............+....+.........+..+.........+.+.........+..............+.........+++++++++++++++++++++++++++++++++++++++*...+......+.....+......+...+++++++++++++++++++++++++++++++++++++++*..+...+..........+......+...........+....+......+.....+....+.....+....+........+...+.......+...+..+.......+..+......+.............+..+....+......+...+.....+................+......+..+.............+..+................+.....+......+....+...........+....+.....+.........+.+..+.............+...........+..........+......+........+............+...+....+..+......+......................+.....+......+.+...+..+...+.+......+........+...+....+.....+......+....+...+..+................+..+...+.......+..+......+..........+.........+...+..+.........+......+......++++++ ........+.+......+...+......+.....+...+.+.....+.+........+......+++++++++++++++++++++++++++++++++++++++*...+.....+...+.+.........+......+........+++++++++++++++++++++++++++++++++++++++*......+........+.+...+.....+.+..............+.+.....+.+...+...+.....+.......+.................+.+............+..+......+...+....+...+..+.+.....+.....................+.+..+.+...................................+....+........+.............+.....+....+.....+...+..........+........+.+.....+...+.............+........+....+......+.....+.......+..+............+.........+.+......+...+...............+......+...........+............+.......+...........+.......+...............+......+.................+...+.+...+..+...+.+..........................+.+.........+......+............+..+....+..+....+........+.......+........+...+...+.+...+...+..+...............+...+..........+..+.......+.........+.....+.........+................+......+...+......+.....+.......+...+..............+.+.....+.+...+...........+.+...+...+...+............+..+.......+...........+.......+...+...+...........+.....................+...+....+...........+............+...+......+..........+........+.+.....+....+.....+.+..+..........+..............+...+......+.+...+...........+.+......+...++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7/pki/reqs/p2cserver.com.req * key: D:/EasyRSA-3.1.7/pki/private/p2cserver.com.key You are about to sign the following certificate: Request subject, to be signed as a server certificate for '825' days: subject= commonName = p2cserver.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cserver.com' Certificate is to be certified until Sep 22 09:56:54 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7/pki/issued/p2cserver.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7/pki/inline/p2cserver.com.inline EasyRSA Shell # 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“p2cserver.com.key”。 执行“ ./easyrsa build-client-full p2cclient.com nopass”命令，生成客户端证书及其私钥。 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .......+++++++++++++++++++++++++++++++++++++++*...+...+...+.....+...+....+......+......+........+.+.....+............+++++++++++++++++++++++++++++++++++++++*.+.....+.+.....+.........+.......+..+...+.......+...+..+......+.+......+........+....+...+...+..+.......+......+.....+..........+...........+....+......+.....+.........+......+.+..+...+..........+........+......+....+......+...........+.......+.....+.............+..+.+...........+..........+...+..+.........+......+.+........+.........+.+...............+..+..........+...+............+...+.....+.+...........+....+.....+.........+....+.......................+....+...+..+....+..+.......+...+............+.....+............+.+........+.......+.....+....+.........+..+............+..........+..+.............+...+...+..++++++ ..+.....+.......+.....+.........+....+++++++++++++++++++++++++++++++++++++++*.....+......+..+++++++++++++++++++++++++++++++++++++++*.......+.+.....+....+.........+...+.....+.........+...+...............+...+....+.....+.+...+......+......+...+.........+..+...+...+....+.........+..+...+...................+......+.....+.+...+...+.........+.....+..................+...+...+......+.+..+......+.+......+.....+...+..........+..+............+.......+.........+.....+......+.+..+............+................+..+...+....+......+.....+...+....+..+......+.........+.........++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7/pki/reqs/p2cclient.com.req * key: D:/EasyRSA-3.1.7/pki/private/p2cclient.com.key You are about to sign the following certificate: Request subject, to be signed as a client certificate for '825' days: subject= commonName = p2cclient.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cclient.com' Certificate is to be certified until Sep 22 09:58:26 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7/pki/issued/p2cclient.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7/pki/inline/p2cclient.com.inline EasyRSA Shell # 查看客户端证书及其私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“p2cclient.com.key”。

数据规划 表1 数据规划 部件 参数项 阿里云规划示例 华为云规划示例 VPC 子网 172.16.0.0/24 192.168.0.0/24 VPN网关 网关IP 1.1.1.1 主EIP：1.1.1.2 主EIP2：2.2.2.2 互联子网 - 192.168.2.0/24 VPN连接 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group14 版本：v2 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group14

客户侧设备组网与基础配置假设 假定客户侧基础网络配置如下： 内网接口：GigabitEthernet1/0/0 所属zone为Trust，接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24，172.16.20.0/24，172.16.30.0/24，所属zone为Trust。 外网接口：GigabitEthernet1/0/1 所属zone为Untrust，接口IP为22.22.22.22/24。 缺省路由：目标网段0.0.0.0/0 出接口GE1/0/1，下一跳为GE1/0/1的网关IP为22.22.22.1。 安全策略：Trust访问Untrust，源地址、目标地址及服务均为any，动作放行。 NAT策略：源地址为内网网段，目标地址为ANY，动作为EasyIP，即转换为接口IP。 基础配置命令行示意如下： interface GigabitEthernet1/0/0 ip address 10.0.0.1 255.255.255.252 # interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 # ip route-static 0.0.0.0 0.0.0.0 22.22.22.1 ip route-static 172.16.10.0 255.255.255.0 10.0.0.2 ip route-static 172.16.20.0 255.255.255.0 10.0.0.2 ip route-static 172.16.30.0 255.255.255.0 10.0.0.2 # firewall zone trust set priority 85 import interface GigabitEthernet1/0/0 # firewall zone untrust set priority 5 import interface GigabitEthernet1/0/1 # ip address-set Customer-subnet172.16.10.0/24 type object address 0 172.16.10.0 mask 24 # ip address-set Customer-subnet172.16.20.0/24 type object address 0 172.16.20.0 mask 24 # ip address-set Customer-subnet172.16.30.0/24 type object address 0 172.16.30.0 mask 24 # security-policy rule name Policy-Internet policy logging session logging source-zone trust destination-zone untrust action permit # nat-policy rule name Snat_Internet source-zone trust egress-interface GigabitEthernet1/0/1 action nat easy-ip

IPsec配置指引 WEB页面VPN配置过程说明： 登录设备WEB管理界面，在导航栏中选择“网络 ＞ IPsec”，选择新建IPsec策略。 基本配置：命名策略，选择出接口为本端接口，本端地址为出接口公网IP，对端地址为华为云VPN网关IP，认证方式选择预共享密钥，密钥信息与华为云配置一致，本端ID及对端ID均选择IP地址。 待加密数据流：新建配置，源地址为客户侧子网网段，目标地址为华为云子网网段，多条子网请分开填写，填写的条目数为两端子网数量的乘积，协议选择any，动作允许。 安全提议：IKE参数与IPsec参数与华为云配置一致，注意IKE版本只勾选与华为云匹配的选项，推荐开启周期性DPD检测。 安全策略：添加客户侧私网网段与华为云私网网段互访的安全策略，服务为ANY，动作允许，推荐置顶这两条安全策略规则。 NAT策略：添加源地址为客户侧私网网段，目标为华为云私网网段动作为不做转换的nat规则，并将该规则置顶。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发，必须确保本地公网IP访问华为云的流量不被NAT。 确保访问目标子网的路由指向公网出接口下一跳。 待加密数据流的网段请填写真实IP和掩码，请勿调用地址对象。 若客户侧网络存在多出口时，请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出，推荐使用静态路由配置选择出口网络。 命令行配置说明： #增加地址对象 ip address-set HWCloud_subnet192.168.10.0/24 type object address 0 192.168.10.0 mask 24 # ip address-set HWCloud_subnet192.168.20.0/24 type object address 0 192.168.20.0 mask 24 #配置一阶段提议，ike v1与ike v2的配置方式相同，ikev1使用认证、加密，ikev2使用加密、完整性、prf ike proposal 100 authentication-algorithm sha2-256 encryption-algorithm aes-128 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 dh group14 sa duration 86400 #配置对等体，指定版本，调用一阶段提议（undo version 2时需要配置exchange-mode参数） ike peer IKE-PEER undo version 1 pre-shared-key ****** ike-proposal 100 remote-address 11.11.11.11 dpd type periodic #配置感兴趣流 acl number 3999 rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 2 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 4 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 rule 6 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 #配置二阶段提议 IPsec proposal IPsec-PH2 transform esp encapsulation-mode tunnel esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 #配置IPsec policy，调用ike peer、二阶段提议、ACL，注意PFS配置 IPsec policy IPsec-HW 1 isakmp proposal IPsec-PH2 security acl 3999 ike-peer IKE-PEER tunnel local 22.22.22.22 pfs dh-group14 sa duration time-based 3600 #全局配置，设定TCP分片大小 firewall tcp-mss 1300 #IPsec policy 绑定接口 interface GigabitEthernet1/0/1 ip address B.B.B.Y 255.255.255.0 IPsec apply policy IPsec-HW # security-policy rule name IPsec-OUT policy logging session logging source-zone trust destination-zone untrust source-address address-set Customer-subnet172.16.10.0/24 source-address address-set Customer-subnet172.16.20.0/24 source-address address-set Customer-subnet172.16.30.0/24 destination-address address-set HWCloud_subnet192.168.10.0/24 destination-address address-set HWCloud_subnet192.168.20.0/24 action permit rule name IPsec-IN policy logging session logging source-zone untrust destination-zone trust source-address address-set HWCloud_subnet192.168.10.0/24 source-address address-set HWCloud_subnet192.168.20.0/24 destination-address address-set Customer-subnet172.16.10.0/24 destination-address address-set Customer-subnet172.16.20.0/24 destination-address address-set Customer-subnet172.16.30.0/24 action permit rule name IPsec-NEG-pass logging enable counting enable source-ip 11.11.11.11 255.255.255.255 source-ip 22.22.22.22 255.255.255.255 destination-ip 11.11.11.11 255.255.255.255 destination-ip 22.22.22.22 255.255.255.255 action permit rule name Policy-Internet …… # nat policy rule name IPsec_NONAT description IPsec_NONAT source-zone trust destination-zone untrust source-address address-set Customer-subnet172.16.10.0/24 source-address address-set Customer-subnet172.16.20.0/24 source-address address-set Customer-subnet172.16.30.0/24 destination-address address-set HWCloud_subnet192.168.10.0/24 destination-address address-set HWCloud_subnet192.168.20.0/24 action no-nat rule name Snat_Internet …… #路由配置，访问华为云子网路由由公网接口流出 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 22.22.22.1

华为云配置信息说明 VPN网关IP：11.11.11.11 VPC子网：192.168.10.0/24，192.168.20.0/24 客户侧网关IP：22.22.22.22 客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24 协商策略详情： 一阶段策略（IKE Policy） 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 版本（Version）: v2 DH算法（DH Algorithm ）: group14 生命周期（Life Cycle）: 86400 二阶段策略（IPsec Policy） 传输协议（Transfer Protocol）: esp 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 完美前向安全（PFS）：DH-group14 生命周期（Life Cycle）: 86400