更新时间:2023-10-23 gmt 08:00
虚拟专用网络 vpn-凯发k8国际娱乐官网入口
本章节以huawei usg6600系列v100r001c30spc300版本的防火墙的配置过程为例进行说明。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,vpc下的子网为192.168.1.0/24和192.168.2.0/24 ,vpc上ipsec隧道的出口公网ip为1.1.1.1(从vpc上ipsec vpn的本端网关参数上获取)。
配置步骤
- 登录防火墙设备的命令行配置界面。
- 查看防火墙版本信息。
display version 17:20:502017/03/09 huawei versatile security platform software software version: usg6600 v100r001c30spc300(vrp (r) software, version 5.30)
- 创建acl并绑定到对应的vpn-instance。
acl number 3065 vpn-instance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q
- 创建ike proposal。
ike proposal 64 dh group5 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q
- 创建ike peer,并引用之前创建的ike proposal,其中对端ip地址是1.1.1.1。
ike peer vpnikepeer_64 pre-shared-key ******** (********为您输入的预共享密码) ike-proposal 64 undo version 2 remote-address vpn-instance vpn64 1.1.1.1 sa binding vpn-instance vpn64 q
- 创建ipsec协议。
ipsec proposal ipsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q
- 创建ipsec策略,并引用ike policy和ipsec proposal。
ipsec policy vpnipsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal ipsecpro64 local-address xx.xx.xx.xx q
- 将ipsec策略应用到相应的子接口上去。
interface gigabitethernet0/0/2.64 ipsec policy vpnipsec64 q
- 测试连通性。
在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示:
父主题:
意见反馈
文档内容是否对您有帮助?
提交成功!非常感谢您的反馈,我们会继续努力做到更好!
您可在查看反馈及问题处理状态。
系统繁忙,请稍后重试
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨