tocdepth

2

Как настроить удаленное устройство для VPN-соединения?

Из-за симметричности туннеля параметры VPN-соединения, настроенные в виртуальной инфраструктуре, должны совпадать с параметрами в вашем аппаратном ЦОД. В случае различия параметров, VPN-соединения не будет установлено.

Для успешного VPN-соединения вам также необходимо настроить IPsec VPN на маршрутизаторе или межсетвом экране в вашем аппаратном ЦОД. Метод настройки может различаться в зависимости от используемого сетевого устройства. Подробнее читайте в руководстве по настройке вашего сетевого устройства.

Ниже описано, как настроить IPsec VPN на модели межсетевого экрана Huawei USG6600 (релиз «V100R001C30SPC300»).

Например, подсети центра обработки данных — 192.168.3.0/24 и 192.168.4.0/24, подсети VPC — 192.168.1.0/24 и 192.168.2.0/24, а публичный IP-адрес шлюза в VPC — XXX.XXX.XXX.XXX.

1. Войдите в интерфейс командной строки (CLI) межсетевого экрана.

2. Проверьте версию релиза.

   display version
   17:20:502017/03/09
   Huawei Versatile Security Platform Software
   Software Version: USG6600 V100R001C30SPC300 (VRP (R) Software, Version 5.30)
   

3. Создайте и опишите разрешенный список доступа (ACL) и назначьте соответствие целевому инстансу VPN.

   acl number 3065 vpn-instance vpn64
   rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
   rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
   rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   q
   

4. Создайте и опишите политику IKE.

   ike proposal 64
   dh group5
   authentication-algorithm sha1
   integrity-algorithm hmac-sha2-256
   sa duration 3600
   q
   

5. Создайте описание смежного устройства IKE (в этом случае VPN Gateway в виртуальной инфраструктуре VPC) и укажите ссылку на созданную политику IKE. IP-адрес смежного устройства — 93.188.242.110.

   ike peer vpnikepeer_64
   pre-shared-key ******** (******** specifies the pre-shared key.)
   ike-proposal 64
   undo version 2
   remote-address vpn-instance vpn64 93.188.242.110
   sa binding vpn-instance vpn64
   q
   

6. Опишите режим работы протокола IPsec.

   ipsec proposal ipsecpro64
   encapsulation-mode tunnel
   esp authentication-algorithm sha1
   q
   

7. Создайте и опишите политику IPsec и укажите ссылку на политику IKE и режим работы протокола IPsec.

   ipsec policy vpnipsec64 1 isakmp
   security acl 3065
   pfs dh-group5
   ike-peer vpnikepeer_64
   proposal ipsecpro64
   local-address xx.xx.xx.xx
   q
   

8. Примените политику IPsec к субинтерфейсу.

   interface GigabitEthernet0/0/2.64
   ipsec policy vpnipsec64
   q
   

9. Проверьте подключение с помощью утилиты ping. И убедитесь, что удаленный IP-адрес доступен.

Была ли статья полезной?

Да Нет

Предыдущая статья

Почему у VPN-соединения отображается статус «Not Connected»?

Следующая статья

Что делать, если VPN-соединение прервано или скорость сети низкая?

Запустили Evolution free tier
для Dev & Test

Получить