使用 IPsec VPN 建立腾讯云 VPC 到用户 IDC 的连接时,在配置完腾讯云 VPN 网关后,您还需要在用户 IDC 本地站点的网关设备中进行 VPN 配置。本文以绿盟防火墙为例,介绍如何在本地站点中进行 VPN 配置。
注意:
本文以 NFNX3-V2000TX 型号、603.168版本防火墙配置演示,其他版本可能界面略有差异,整体配置逻辑一致。
本文仅支持 IKEv1 协议的配置。
本文所有 IP、接口等参数取值均仅用于举例,请具体配置时,使用实际值进行替换。
前提条件
数据准备
本文 IPsec VPN 配置数据举例如下:
配置项 | 示例值 | ||
网络配置 | VPC 信息 | 子网 CIDR | 10.1.1.0/24 |
| | VPN 网关公网 IP | 159.xx.xx.242 |
| IDC 信息 | 内网 CIDR | 172.16.0.0/16 |
| | 网关公网 IP | 120.xx.xx.76 |
IPsec 连接配置 | IKE 配置 | 版本 | IKEV1 |
| | 身份认证方法 | 预共享密钥 |
| | PSK | tencent@123 |
| | 加密算法 | AES-128 |
| | 认证算法 | MD5 |
| | 协商模式 | main |
| | 本端标识 | IP Address:120.xx.xx.76 |
| | 远端标识 | IP Address:159.xx.xx.242 |
| | DH group | DH2 |
| | IKE SA Lifetime | 86400 |
| IPsec 配置 | 加密算法 | AES-128 |
| | 认证算法 | MD5 |
| | 报文封装模式 | Tunnel |
| | 安全协议 | ESP |
| | PFS | disable |
| | IPsec SA 生存周期(s) | 3600s |
操作步骤
1. 使用 weboper 登录 NSFOCUS 管理界面。
2. 在左侧菜单栏选择网络 > 接口,然后在 IPsec 接口页面单击新建。
3. 在新建页面配置 IPsec 相关信息,然后单击确定。
接口类型:选择 VPN。
子类型选择:选择 ipsec。
接口名称:不可修改,系统默认填充。
安全区:选择 DMZ。
为了确保 IPsec 接口到内网的数据不被安全策略拦截阻断,请保持默认选项DMZ。
IPv4:选择本地 VPC 网段,即数据准备阶段中 VPC 的子网 CIDR 的示例值10.1.1.1/24。
4. 在左侧菜单栏选择网络 > IPSEC > IPSEC 隧道。
5. 在第一阶段页签,根据腾讯云 VPN 连接的 IKE 协议信息配置 IDC 侧的 IKE 协议。
*为必配项。
隧道名称:填写隧道名称。
本地接口:选择规划好的本地接口。
HA 线路:选 HA 线路。
IP 地址:选择 IPsec 所在服务器的IP地址。
客户端类型:选择网关客户端。
认证方式:选择预共享密钥。
预共享密钥:设置预共享密钥。
6. (可选)高级选项配置。
如果您对 IPsec 策略有更高的要求,如认证算法、加密算法、ISAKMP-SA 存活时间等,需要进行高级配置。
本处仅介绍主要参数的配置说明。
本地/对端 ID 类型:
IPV4:输入标准的 IPv4 格式的地址。
域名:字符数小于等于30个字符,且只能包含字母、数字、下划线、.(英文点号)和@。
用户名:当前仅支持输入用户邮箱,例如:xxxx@nsfocus.com。
DH 组:IPsec VPN 隧道使用的 DH 组。
认证算法:指定安全认证算法,例如 MD5。
加密算法:指定加密算法。
说明
7. 第一阶段配置完成后单击下一步。
8. 在第二阶段页签,依据腾讯云 VPN 连接的 IPsec 协议信息配置 IDC 侧的 IPsec 协议。
注意
子网间请勿存在包含关系。
8.1 在第二阶段页签单击添加。
8.2 本地子网填写 IDC 本端网段及掩码,例如172.16.0.0/16。
8.3 对端子网填写腾讯云 VPN 后端子网网段及掩,例如10.1.1.0/24。
8.4 协议选择 any。
8.5 高级配置。
协议选择 ESP
认证算法选择 MD5
加密算法选 AES-128
IPSEC-SA 存活时间配置为3600
PFS设置为禁用
8.6 单击确定。
9. 测试 NSFOCUS 与腾讯云的连通性。
NSFOCUS 与腾讯云 VPN 建立隧道后,NSFOCUS 侧自动生成相应的隧道信息条目。
在腾讯云 VPN 侧可查看连接状态。
在 NSFOCU 侧使用 Ping 命令 ping 腾讯云 VPC 内的云服务器,可正常通行。