使用IPsec VPN建立站點到站點的連接時，在配置完VPN網關后，您還需在本地數據中心的網關設備中添加VPN配置。

場景示例

本文以上圖場景為例。某公司在天翼云擁有一個VPC，VPC網段為192.168.10.0/24，VPC中使用彈性云主機部署了應用服務。同時該公司在本地擁有一個數據中心IDC，本地IDC網段為172.16.2.0/24。公司因業務發展，需要本地IDC與云上VPC互通，實現資源互訪。該公司計劃使用IPsec VPN產品，在本地IDC與云上VPC之間建立IPsec連接，實現云上和云下的互通。

本文涉及的網絡配置請參見下表。

前提條件

• 已下載IPsec連接的配置。
• 已在天翼云側完成創建VPN網關、創建用戶網關、創建IPsec連接、配置VPN網關路由的操作。

本文IPsec連接的配置如下表所示。

配置項
示例值
預共享密鑰
aa123bb****
IKE配置
IKE版本
IKEv1
協商模式
main
加密算法
AES-128
認證算法
SHA1
DH分組
Group2
SA生存周期（秒）
86400
IPsec配置
加密算法
AES-128
認證算法
SHA1
PFS
DH?group2
SA生存周期（秒）
3600

步驟一：安裝strongSwan軟件

步驟涉及的命令僅供參考，實際配置命令請以您本地網關設備的操作手冊為準。

1. 登錄本地網關設備的命令行界面。
2. 執行以下命令安裝strongSwan軟件。

yum install strongswan

3. 可選：執行以下命令查看系統自動安裝的strongSwan軟件版本。

strongswan version

步驟二：配置strongSwan

1. 執行以下命令打開ipsec.conf配置文件。

vi /etc/strongswan/ipsec.conf

2. 請參見以下配置，更改ipsec.conf配置文件。

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
 config setup
     uniqueids=never
 conn %default
     authby=psk                  #使用預共享密鑰認證方式
     type=tunnel
 conn tomyidc
     keyexchange=ikev1           #IPsec連接使用的IKE協議的版本
     left=121.XX.XX.113            #本地網關設備的公網IP地址。如果您使用本地網關設備的私網IP地址建立IPsec VPN連接，則本項需配置為本地網關設備的私網IP地址。
     leftsubnet=172.16.2.0/24    #本地IDC待和VPC互通的私網網段
     leftid=121.XX.XX.113          #本地網關設備的標識。如果您使用本地網關設備的私網IP地址建立IPsec VPN連接，建議您使用本地網關設備的私網IP地址作為標識。
     right=123.XX.XX.214         #VPN網關的公網IP地址
     rightsubnet=192.168.10.0/24 #VPC待和本地IDC互通的私網網段
     rightid=123.XX.XX.214       #VPN網關的標識
     auto=route
     ike=aes-sha1-modp1024       #IPsec連接中IKE協議的加密算法-認證算法-DH分組
     ikelifetime=86400s          #IKE協議的SA生命周期
     esp=aes-sha1-modp1024       #IPsec連接中IPsec協議的加密算法-認證算法-DH分組
     lifetime=3600s             #IPsec協議的SA生命周期
     type=tunnel

3. 配置ipsec.secrets文件。

A. 執行以下命令打開ipsec.secrets文件。

vi /etc/strongswan/ipsec.secrets

B. 添加以下配置。以下兩種配置方式，任選一種即可。

方式一：

121.XX.XX.113 123.XX.XX.214 : PSK aa123bb****   #aa123bb****為預共享密鑰，本地IDC和VPN網關的預共享密鑰需保持一致。

方式二：

123.XX.XX.214 : PSK aa123bb****   #aa123bb****為IPsec連接的預共享密鑰，本地IDC側和VPN網關側的預共享密鑰需保持一致。

4. 打開系統轉發配置。

echo 1 > /proc/sys/net/ipv4/ip_forward

5. 執行以下命令啟動strongSwan服務。

systemctl enable strongswan
systemctl start strongswan

6. 在您本地IDC側，設置本地IDC客戶端到strongSwan本地網關設備及strongSwan本地網關設備到本地IDC客戶端的路由。
7. 如果您使用strongSwan建立了3條（不包含3條）以上的IPsec連接，您需要修改/etc/strongswan/strongswan.d/charon.conf中的配置。

刪除max_ikev1_exchanges = 3 命令前的注釋符號，啟用此命令，并修改命令中參數的值大于您建立的IPsec連接數。

例如：您使用strongSwan建立了4條IPsec連接，您可以修改該命令為max_ikev1_exchanges = 5 。