813      微软  windows

搭建VPN网关__最佳实践_用户指南_专有网络 VPC-阿里云

概述

以下以使用驻云VPN镜像建立site to site VPN（又称L2L VPN）为例。

L2L VPN拓扑结构

两个子网通过路由器A和路由器B接入互联网，同时通过一个L2L 的ipsec 隧道在两台路由器之间建立一个虚拟的连接，将A、B两个网络互通起来，效果与Router A、RouterB之间拉一根物理专线一样。 两端的vpn节点设备可以是路由器，也可以是专业的防火墙，也可以是基于x86服务器的系统软件。

环境准备

本文档环境如下：RouterA是VPC环境，采用一台ECS安装FlexGW的镜像，配置如下：

• 操作系统：centos 6.5 64位
• 软件包：Strongswan5.3.2-Openvpn2.3.8-FlexGW2.0

Router B可以是思科或华为、华三的路由器、防火墙，也可以是另一个FlexGW服务器。

FlexGW配置

1.使用 VM的系统账号密码即可登录系统，登录方式：浏览器访问”https: //公网IP”。

2.进入 VPN服务管理 –点击启动VPN服务。

3.增加隧道：点击新增隧道，按照下图内容填写，以下配置属于拓扑结构图中右边子网B的RouterB的配置。

• 隧道ID：最好配一端的路由器的域名或者公网IP，两端设备的这个部分要保持一致。
• IKE版本：为了安全健壮性，建议使用版本2
• 启动类型：选择自动连接
• IKE 加密算法：一般选择3DES模式
• IKE 验证算法：在以上选择了3DES后，这里一般选择sha-1
• IKE DH 组：默认第一项modp 768即可
• ESP 加密算法：默认3DES
• ESP 验证算法：默认MD5
• ESP DH 组：一般不需要
• 与共享密钥：请根据个人情况设置协商用密码

基于ike V1的配置

对端配置一，路由器配置说明：

access-list 111 permit ip 10.1.1.0 0.0.0.255 172.16.2.0 0.0.0.255ip route 0.0.0.0 0.0.0.0 100.100.100.1 #增加默认路由与acl

crypto keyring 1 pre-shared-key address 200.200.200.200 key A1@456b

crypto isakmp policy 1 encr 3des authentication pre-share group 2crypto isakmp profile 1 keyring 1 self-identity address match identity address 200.200.200.200 255.255.255.255 local-address 100.100.100.100

crypto ipsec transform-set vsr esp-3des esp-sha-hmac

crypto map tunnel_1 100 ipsec-isakmp set peer 200.200.200.200 set security-association lifetime seconds 86400 set transform-set vsr set pfs group2 match address 111

interface Ethernet1/0 ip address 100.100.100.100 255.255.255.0 full-duplex crypto map tunnel_1 #将配置应用到接口下

注意：一定要使能配置：crypto isakmp enable 路由器默认此信息不显示，但必须配置。配置示例：

`R1#show runBuilding configuration…

Current configuration : 2106 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname RouterA!boot-start-markerboot-end-marker!!no aaa new-model!resource policy!memory-size iomem 5no ip icmp rate-limit unreachableip tcp synwait-time 5!!ip cefno ip domain lookup!!crypto keyring 1 pre-shared-key address 200.200.200.200 key A1@456b!crypto isakmp policy 1 encr 3des authentication pre-share group 2crypto isakmp profile 1 keyring 1 self-identity address match identity address 200.200.200.200 255.255.255.255 local-address 100.100.100.100!!crypto ipsec transform-set vsr esp-3des esp-sha-hmac!crypto map tunnel_1 100 ipsec-isakmp set peer 200.200.200.200 set security-association lifetime seconds 86400 set transform-set vsr set pfs group2 match address 111!!!!interface Loopback0 ip address 10.1.1.1 255.255.255.0!interface FastEthernet0/0!

!interface Ethernet1/0 ip address 100.100.100.100 255.255.255.0 full-duplex crypto map tunnel_1!interface Ethernet1/1 no ip address half-duplex!interface Ethernet1/2 no ip address shutdown half-duplex!interface Ethernet1/3 no ip address shutdown half-duplex!interface Vlan1 no ip address!no ip http serverno ip http secure-serverip route 0.0.0.0 0.0.0.0 100.100.100.1!!!access-list 111 permit ip 10.1.1.0 0.0.0.255 172.16.2.0 0.0.0.255no cdp log mismatch duplex!!!control-plane!!!!!!!!!!line con 0 exec-timeout 0 0 privilege level 15 logging synchronousline aux 0 exec-timeout 0 0 privilege level 15 logging synchronousline vty 0 4 login!

`

对端配置二，ASA防火墙说明（IOS：8.2）：

access-list 100 extended permit ip 172.16.2.0 255.255.255.0 10.1.1.0 255.255.255.0

isakmp identity autocrypto isakmp policy 1authentication pre-shareencryption 3deshash shagroup 2lifetime 86400crypto isakmp enable OutSide

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto map OutSide_map 10 match address 100crypto map OutSide_map 10 set pfscrypto map OutSide_map 12 set peer 200.200.200.200crypto map OutSide_map 12 set transform-set ESP-3DES-SHAcrypto map OutSide_map interface OutSide

tunnel-group 200.200.200.200 type ipsec-l2ltunnel-group 200.200.200.200 ipsec-attributespre-shared-key A1@456bpeer-id-validate nocheck

基于ike V2的配置

其他不变，当web上选择ike V2时，对方设备配置如下：

对端配置一，路由器配置说明：

crypto ikev2 proposal R1-proposal 创建一个proposal

encryption 3des aes-cbc-256 integrity md5 sha256 group 1 2 5

crypto ikev2 policy R1-policy 创建一个策略，以便可以调用proposal proposal R1-proposal

crypto ikev2 keyring R1-key 创建一个密钥文件 peer ASA 名字本地有效，作为一个标识而已。 address 200.200.200.200 对方地址 pre-shared-key A1@345b 预共享密钥

crypto ikev2 profile ike-profile 创建一个ike的profile。 match identity remote address 200.200.200.200 255.255.255.255 对方加密点地址 identity local address 100.100.100.100 本地加密点地址。

authentication remote pre-share 认证方式 authentication local pre-share keyring local R1-key 调用KEY文件

crypto ipsec transform-set aa esp-des esp-md5-hmac mode tunnelcrypto map VPN 1 ipsec-isakmp set peer 200.200.200.200 set transform-set aa

set ikev2-profile ike-profile 调用 IKe的profile match address 100 crypto map VPN

接口下应用与路由配置同ike V1注意：一定要使能配置：crypto isakmp enable 路由器默认此信息不显示，但必须配置

对端配置二，防火墙配置说明（IOS 8.4以上）：

Crypto ikev2 enable outside 使能逻辑域crypto ikev2 policy 10 创建一个策略 encryption aes-256 3des integrity sha256 md5 group 5 2 1 prf sha256 md5 伪随机数。切记，这里默认是sha，如果两边不一样会建立不起来

tunnel-group 100.100.100.100 type ipsec-l2ltunnel-group 100.100.100.100 ipsec-attributes ikev2 remote-authentication pre-shared-key A1@345b ikev2 local-authentication pre-shared-key A1@345b

crypto ipsec ikev2 ipsec-proposal aa 相当于路由器上的转换集 protocol esp encryption des protocol esp integrity md5

crypto map VPN 1 match address 100crypto map VPN 1 set peer 100.100.100.100crypto map VPN 1 set ikev2 ipsec-proposal aa 在map上调用转换集crypto map VPN interface outside

最后更新：2016-12-06 14:28:54

  上一篇： 物理专线接入__最佳实践_用户指南_专有网络 VPC-阿里云

  下一篇： 多应用共享公网带宽__最佳实践_用户指南_专有网络 VPC-阿里云