多網段配置建議

• 由于天翼云側IPsec連接IKE配置階段以及IPsec配置階段的加密算法、認證算法、DH算法均僅支持指定一個值，因此您在對端網關設備上添加VPN配置時，IKE配置階段以及IPsec配置階段的加密算法、認證算法、DH算法（PFS）也都只能指定一個值，且需和天翼云側相同。
• 如果天翼云側IPsec連接開啟了DPD功能，則對端網關設備需支持標準的DPD功能。
• 天翼云側IPsec連接和對端網關設備配置的生存周期需相同。

多網段配置方案推薦

某公司希望將本地數據中心和天翼云VPC通過IPsec VPN連接實現多網段互通：天翼云VPC下的多個網段為10.1.1.0/24和10.1.2.0/24，本地數據中心下的多個網段為192.168.1.0/24和192.168.2.0/24，拓撲圖如下：

推薦配置方案如下：

方案一配置示例

• 在天翼云側配置IPsec連接時，IPsec連接的路由模式使用“目的路由”模式。具體操作，請參見用戶指南?>創建IPsec連接。
• 在VPN網關實例下添加路由配置時，推薦使用“目的路由”，并添加相關路由配置。具體操作，請參見用戶指南?>使用目的路由。
• 在本地網關設備上添加源網段為0.0.0.0/0、目的網段為0.0.0.0/0的感興趣流。具體命令，請咨詢本地網關設備所屬廠商。

方案二配置示例

• 在天翼云側配置IPsec連接時，IPsec連接的路由模式使用感興趣流模式，IPsec連接本端網段配置為VPC下的聚合網段10.1.0.0/16，對端網段配置為本地數據中心下的聚合網段192.168.0.0/16。具體操作，請參見用戶指南?>創建IPsec連接。
• IPsec連接的路由模式為感興趣流模式時，系統會自動創建相關的轉發策略，并將其發布給VPC默認路由表。該轉發策略對用戶不可見，用戶不需要額外去創建目的路由或者是策略路由。

方案三配置示例

• 在天翼云側配置IPsec連接時，IPsec連接的路由模式使用感興趣流模式，IPsec連接本端網段配置為VPC下的2個網段10.1.1.0/24和10.1.2.0/24，對端網段配置為本地數據中心下的2個網段192.168.1.0/24和192.168.2.0/24。具體操作，請參見用戶指南?>創建IPsec連接。
• IPsec連接的路由模式為感興趣流模式時，系統會自動創建相關的轉發策略，并將其發布給VPC默認路由表。該轉發策略對用戶不可見，用戶不需要額外去創建目的路由或者是策略路由。