使用IPsec VPN建立站點到站點的連接時，在配置完天翼云VPN網關后，您還需在本地站點的網關設備中進行VPN配置。

背景信息

VPC和本地IDC的網絡配置如下：

前提條件

• 您已經在天翼云VPC內創建了IPsec連接。
• 已經下載了IPsec連接的配置。

配置IKEv1 VPN

協議
配置
示例值
IKE
認證算法
SHA1
加密算法
AES-128
DH分組
Group2
IKE版本
IKEv1
生命周期
86400
協商模式
main
PSK
aa123bb****
IPsec
認證算法
SHA1
加密算法
AES-128
PFS
DH?group2
生命周期
3600
傳輸協議
ESP

操作步驟

1. 登錄防火墻設備的命令行配置界面。
2. 配置isakmp策略。

crypto isakmp policy 1 
authentication pre-share 
encryption aes
hash sha 
group  2
lifetime 86400

3. 配置預共享密鑰。

crypto isakmp key aa123bb**** address 121.XX.XX.113

4. 配置IPsec安全協議。

crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac 
mode tunnel

5. 配置ACL（訪問控制列表），定義需要保護的數據流。

access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.255

如果本地網關設備配置了多網段，則需要分別針對多個網段添加ACL策略。

6. 配置IPsec策略。

crypto map ipsecpro64 10 ipsec-isakmp
set peer 121.XX.XX.113
set transform-set ipsecpro64
set pfs group2
match address 100

7. 應用IPsec策略。

interface g0/0
crypto map ipsecpro64

8. 配置靜態路由。

ip route 192.168.10.0 255.255.255.0 121.XX.XX.113
ip route 192.168.11.0 255.255.255.0 121.XX.XX.113

9. 測試連通性。

您可以利用您在云中的主機和您數據中心的主機進行連通性測試。