使用IPsec VPN建立站點到站點的連接時，在配置完天翼云VPN網關后，您還需在本地站點的網關設備中進行VPN配置。

前提條件

• 已經在天翼云VPC內創建了IPsec連接。
• 已經下載了IPsec連接的配置。

IPsec協議信息

配置
示例值
IKE
認證算法
SHA1
加密算法
AES-128
DH分組
Group5
IKE版本
IKEv1
生命周期
86400
協商模式
main
PSK
ct***h3c
IPsec
認證算法
SHA1
加密算法
AES-128
PFS
DH group5
生命周期
3600

網絡配置信息

操作步驟

1. 以命令行方式登錄H3C路由器命令行。
2. 配置IKE預共享密鑰。

ike keychain ctyun
 pre-shared-key address 121.***.***.152 255.255.255.255 key simple ct***h3c

3. 配置IKE提議。

ike proposal 10000
 sa duration 86400
 authentication-algorithm sha
 encryption-algorithm aes-cbc-128
 dh group5

4. 配置IKE安全框架。

ike profile ctyun
 exchange-mode main
 keychain ctyun
 local-identity address 49.***.***.89
 proposal 10000
 match remote address 121.***.***.152

5. 配置ACL，定義要保護的數據流。

acl advanced 3402
 rule 0 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
 rule 5 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.0.0 0.0.0.255

6. 配置IPsec安全提議。

ipsec transform-set ctyun
 protocol esp
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
 pfs dh-group5

7. 配置IPsec安全策略。

ipsec policy ctyun 10 isakmp
 sa duration time-based 3600
 transform-set ctyun
 security acl 3402
 remote-address 121.***.***.152
 ike-profile ctyun

8. 在GigabitEthernet1/0接口上應用IPsec安全策略ctyun。

interface GigabitEthernet1/0
 ipsec apply policy ctyun

9. 配置靜態路由。

ip route 192.168.3.0 255.255.255.0 49.***.***.1

10. 測試連通性。

您可以利用您的云主機和數據中心的主機進行連通性測試。