因业务需求,需要将阿里云与内网进行打通。此方法适合阿里云-内网的vpn隧道、适合阿里云不同地区的隧道创建。
基本需求:购买阿里云VPN网关资源、支持IPSEC协议的防火墙。
华为USG防火墙配置:
1、创建tunnel接口
选择借用其他公网口地址。通过使用tunnel接口进行vpn对接,通过静态路由的形式将目的流量转发至tunnel接口中,策略比较清晰 不用创建nat不转换策略。
2、创建安全区域
为了更好的进行安全策略的配置,我们选择创建一个安全区域并将tunnel接口绑定至安全域中。
3、IPSEC配置
IPSEC配置无非就是源目IP、共享密钥、感兴趣流、和一二阶段协商参数。
4、路由配置
新建去往阿里云方向的路由、下一跳为第一步创建的阿里云vpn隧道接口(tunnel)
5、安全策略配置
安全策略需要创建3条
1、untrust-local 源 阿里云vpn网关;目 本端对接VPN公网地址
2、trust-阿里云 源 trust;目 阿里云区域
3、阿里云-trust 源 阿里云区域;目 trust区域
可以根据实际情况添加明细策略。
阿里云VPN配置:
1、用户网关配置
用户网关就是对端的vpn对接网关,对应华为配置第一步的公网接口。建议将描述填写清晰。
2、创建IPsec连接
本端、对端、感兴趣流、高级配置(一二阶段协商参数)
3、路由配置
下一条为VPN网关。
检查隧道状态
排错:
1、隧道协商不成功:根据提示查看是一二阶段协商 还是感兴趣流配置错误 。
2、隧道协商成功不通:检查双方路由条目填写是否正确;安全策略是否填写正确,阿里云安全组策略是否有禁止。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
