操作場景

通過執行該操作，您可以創建VPN，以便在您的數據中心與天翼云VPC之間建立一條保密而安全的通信隧道。

前提條件

• 請確認虛擬私有云VPC已經創建完成。
• 請確認虛擬私有云VPC的安全組規則已經配置，ECS通信正常。

操作步驟

1. 登錄管理控制臺。
2. 在管理控制臺上方選擇區域和項目。
3. 在系統首頁，單擊“網絡 > 虛擬專用網絡”。
4. 在“虛擬專用網絡”界面，單擊“購買VPN”。
5. 根據界面提示配置參數，并單擊“立即購買”。
6. 提交申請。
   創建成功后云為該IPsec VPN分配一個公網出口IP地址。該地址為VPN頁面中，已創建的VPN的本端網關地址。在您自己數據中心配置對端隧道時，遠端網關需要配置為該IP地址。
7. 因為隧道的對稱性，還需要在您自己數據中心的路由器或者防火墻上進行IPsec VPN隧道配置。

                    
說明
                    
IKE策略指定了IPsec 隧道在協商階段的加密和認證算法，IPsec策略指定了IPsec在數據傳輸階段所使用的協議，加密以及認證算法；這些參數在VPC上的VPN和您數據中心的VPN中需要進行相同的配置，否則會導致VPN無法建立連接。
以下算法安全性較低，請慎用：
認證算法：SHA1、MD5。
加密算法：3DES。
DH算法：Group 1、Group 2、Group 5。


                    
                  
                  

配置對端設備

配置對端設備可參見以下示例，幫助您配置本地的VPN設備，實現您本地網絡與天翼云VPC子網的互聯互通。

示例：HUAWEI USG6600配置

本章節以Huawei USG6600系列V100R001C30SPC300版本的防火墻的配置過程為例進行說明。

假設數據中心的子網為192.168.3.0/24和192.168.4.0/24，VPC下的子網為192.168.1.0/24和192.168.2.0/24，VPC上IPsec隧道的出口公網IP為1.1.1.1（從VPC上IPsec VPN的本端網關參數上獲取）。

配置步驟

1. 登錄防火墻設備的命令行配置界面。

2. 查看防火墻版本信息。

   display version

   17:20:502017/03/09

   Huawei Versatile Security Platform Software

   Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30)

3. 創建ACL并綁定到對應的vpn-instance。

   acl number 3065 vpn-instance vpn64

   rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

   rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

   rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

   rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

   q

4. 創建ike proposal。

   ike proposal 64

   dh group5

   authentication-algorithm sha1

   integrity-algorithm hmac-sha2-256

   sa duration 3600

   q

5. 創建ike peer，并引用之前創建的ike proposal，其中對端IP地址是1.1.1.1。

   ike peer vpnikepeer_64

   pre-shared-key ******** （********為您輸入的預共享密碼）

   ike-proposal 64

   undo version 2

   remote-address vpn-instance vpn64 1.1.1.1

   sa binding vpn-instance vpn64

   q

6. 創建IPsec協議。

   IPsec proposal IPsecpro64

   encapsulation-mode tunnel

   esp authentication-algorithm sha1

   q

7. 創建IPsec策略，并引用ike policy和IPsec proposal。

   IPsec policy vpnIPsec64 1 isakmp

   security acl 3065

   pfs dh-group5

   ike-peer vpnikepeer_64

   proposal IPsecpro64

   local-address xx.xx.xx.xx

   q

8. 將IPsec策略應用到相應的子接口上。
   interface GigabitEthernet0/0/2.64

   IPsec policy vpnIPsec64

   q

9. 測試連通性。

   在上述配置完成后，我們可以利用您在云中的云主機和您數據中心的主機進行連通性測試。