虚拟专用网络 VPN-山石-G防火墙(V5.5)对接华为云配置指引:VPN配置过程
时间:2025-05-14 17:33:21
下载虚拟专用网络 VPN用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
VPN配置过程
登录设备WEB管理界面,在导航栏中选择“VPN > IPsec VPN”。
- 配置P1提议:输入提议名称,选择认证方式为Pre-share,认证算法、加密算法和DH组等参数,详细参数参见华为云配置信息说明。
- 配置P2提议:输入提议名称,协议选择、认证算法、加密算法和PFS等参数,详细参数参见华为云配置信息说明,不启用压缩和生存大小。
- 配置VPN 对端列表:
- 基本配置:输入名称,选择公网接口ethnet0/1,选择协议标准(只支持V1版本)和认证模式,类型选择静态IP,对端IP地址键入华为云VPN网关IP地址11.11.11.11,本地ID选择IPv4 22.22.22.22,调用已配置好的P1提议并输入与华为云侧相同的预共享密钥。
- 高级配置:建议配置如下,连接类型选择双向,启用NAT穿越,开启对端存活检测,DPD间隔与重试时间默认即可,不启用XAUTH服务器。
- 配置IKE VPN列表
- 接口配置:
- 在导航栏安全域下新建一个VPN的安全域,进行命名为VPN,类型选择三层安全域。
- 在导航栏接口下新建一隧道接口,完成名称编号,所属安全域(划入新建的VPN安全域);IP配置选择静态IP,不填写IP信息;隧道类型为IPsec VPN,隧道绑定配置选择已创建的IKE VPN列表名称。
- 安全策略,新建以下安全策略,并将该策略置顶。
- 新建源区域为trust,目标区域为VPN区域,服务为any,动作为允许。
- 新建源区域为VPN区域,目标区域为trust,服务为any,动作为允许。
- 配置路由 目标网段为华为云私网(192.168.10.0/24,192.168.20.0/24),下一跳选择为接口,接口选择为VPN使用的tunnel口。
- 安全策略中需要添加本地公网IP与华为云网关IP的互访规则,协议为UDP的500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。
- 代理ID(待加密数据流的网段)请填写真实IP和掩码,请勿调用地址对象。
- 若客户侧网络存在多出口时,请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出,推荐使用静态路由配置选择出口网络。
support.huaweicloud.com/admin-vpn/vpn_admin_0012.html
