## 操作场景在配置好云上VPN网关、用户网关、IPsec连接等操作后，还要在本地数据中心的深信服防火墙，进行VPN连接的配置。 ## 参数配置 * 网段信息云上VPC网段为192.168.1.0/24，VPN网关的公网IP为23.XX.XX.18。本地数据中心的私网网段为10.0.0.0/24，网关设备的静态公网IP为110.XX.XX.64。 > VPN网关的公网IP是指创建VPN网关时，系统自动分配的公网IP，作为VPN网关的网关出口IP，与单独购买的公网IP实例不同，是不可单独持有的资源，生命周期与VPN网关保持一致。 * IPsec连接 * 预共享密钥：test@1234 * NAT穿越：开启 * IKE配置 |策略 |取值 | |---|---| |认证算法 |sha256 | |加密算法 |aes | |DH算法 |group14 | |协商模式 |aggressive | |版本 |ikev2 | |生命周期 |86400 | * IPsec配置 |策略 |取值 | |---|---| |认证算法 |sha256 | |加密算法 |aes | |DH算法 |group14 | |生命周期 |86400 | ## 操作步骤 > 本文仅介绍必要的参数配置，其他参数您可根据实际情况，选择性的配置。不同版本的深信服防火墙，界面及入口可能有所不同，您可咨询防火墙厂商了解详情。 1. 从本地登录深信服防火墙Web页面，在左侧**导航菜单**下，选择**VPN \> IPsecVPN \> 第三方对接 \> 第一阶段**。 2. 根据IPsec连接的IKE配置，进行深信服防火墙第一阶段的配置。在右侧页面的顶部，选择**线路出口**，然后单击**新建**，创建一个新的连接。 |参数 |说明 |取值样例 | |---|---|---| |设备名称 |输入设备的名称。 |VPN0001 | |设备地址类型 |请选择**对端是固定IP**。 |对端是固定IP | |固定IP |输入云端VPN网关的IP地址。 |23.XX.XX.18 | |认证方式 |选择**预共享密钥**。 |预共享密钥 | |预共享密钥 |IPsec连接时设置的预共享密钥。 |test@1234 | |启用设备 |默认选中。 |勾选 | |启用主动连接 |默认选中。 |勾选 | 3. 单击**高级**，进行连接的高级配置，完成后单击**确定**。 |参数 |说明 |取值样例 | |---|---|---| |ISAKMP存活时间 |ISAKMP的存活时间，需与IPsec连接时设置的IKE生命周期保持一致。 |86400 | |重试次数 |连接重试的次数。 |10 | |支持模式 |深信服防火墙设备需要NAT穿越时，请选**野蛮模式**，对应IPsec连接时IKE的**协商模式**。 |野蛮模式 | |D\-H群 |选择**MOOP 1024群（3）** 。 |MOOP 1024群（3） | |本端身份类型 |选择**IPv4地址（IPv4 ADDR）** 。 |IPv4地址（IPv4 ADDR） | |本端身份ID |本端网关的IP地址。 |110.XX.XX.64 | |远端身份类型 |选择**IPv4地址（IPv4 ADDR）** 。 |IPv4地址（IPv4 ADDR） | |远端身份ID |云端VPN网关的IP地址。 |23.XX.XX.18 | |启用DPD |本示例不选。 |不选 | |启用NAT穿透 |本示例需要选中。 |勾选 | |认证算法 |选择认证算法。 |SHA256 | |加密算法 |选择加密算法。 |AES | 4. 在左侧**导航菜单**下，选择**VPN \> IPsecVPN \> 第三方对接 \> 第二阶段**。 5. 根据网段信息，配置入站策略。在**入站策略**页签下单击**新建**，创建一个新的入站策略，完成后单击**确定**。 |参数 |说明 |取值样例 | |---|---|---| |策略名称 |输入入站策略名称。 |testin | |源IP类型 |选择为**子网+掩码**。 |子网+掩码 | |子网 |输入VPC侧的子网。 |192.168.1.0 | |掩码 |输入子网的掩码。 |255.255.255.0 | |对端设备 |选择第一阶段配置设备名称。 |VPN0001 | |入站服务 |选择允许开放的服务。 |所有服务 | |安全选项 |选择安全选项。 |默认安全选项 | |启用该策略 |选择启用。 |勾选 | 6. 根据网段信息，配置出站策略。在**出站策略**页签下单击**新建**，创建一个新的出站策略。 |参数 |说明 |取值样例 | |---|---|---| |策略名称 |自定义策略名称。 |testout | |源IP类型 |选择源IP的类型。 |子网+掩码 | |子网 |输入本端子网。 |10.0.0.0 | |掩码 |输入本端的掩码。 |255.255.255.0 | |对端设备 |选择第一阶段配置设备名称。 |VPN0001 | |出站服务 |选择允许开放的服务。 |所有服务 | |安全选项 |选择安全选项。 |默认安全选项 | |启用该策略 |选择启用。 |勾选 | 7. 在左侧**导航菜单**下，选择**VPN \> IPsecVPN \> 第三方对接 \> 安全选项**。 8. 根据IPsec连接的IPsec配置，进行安全配置。单击**新增**，在弹出的页面进行安全配置，完成后单击**确定**。 |参数 |说明 |取值样例 | |---|---|---| |名称 |自定义名称。 |test连接 | |协议 |第二阶段的认证协议，本示例为ESP。 |ESP | |加密算法 |IPsec连接时IPsec配置的加密算法。 |SHA256 | |认证算法 |IPsec连接时IPsec配置的认证算法。 |AES | 9. 配置本地数据中心的路由和ACL，允许访问云上私有网络的流量进入VPN通信隧道。