所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type II) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置VPN对端设备CISCO CISCO-2900

配置VPN对端设备CISCO CISCO-2900

因为隧道的对称性,在云上的VPN参数和您的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。

在您自己数据中心的路由器或者防火墙上需要进行IPsec VPN隧道配置,具体配置方法取决于您使用的网络设备,请查询对应设备厂商的指导书。

本章节以CISCO 2900系列15.0版本的防火墙配置过程为例进行说明,供参考。

假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24 ,VPC上IPsec隧道的出口IP为10.0.0.0(从VPC上IPsec VPN的本端网关参数上获取)。

操作步骤

  1. 登录防火墙设备的命令行配置界面。
  2. 配置isakmp策略。

    crypto isakmp policy 1 
    authentication pre-share 
    encryption aes 256 
    hash sha 
    group 5 
    lifetime 3600

  3. 配置预共享密钥。

    crypto isakmp key ******** address 10.0.0.0(********为您输入的预共享密钥) 

  4. 配置IPsec安全协议。

    crypto IPsec transform-set IPsecpro64 esp-aes 256 esp-sha-hmac
    mode tunnel

  5. 配置ACL(访问控制列表),定义需要保护的数据流。

    access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
    access-list 100 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
    access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
    access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255

  6. 配置IPsec策略。

    crypto map vpnIPsec64 10 IPsec-isakmp
    set peer 10.0.0.0
    set transform-set IPsecpro64
    match address 100

  7. 在接口上应用IPsec策略。

    interface g0/0
    crypto map vpnIPsec64

  8. 测试连通性。

    在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示:

翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043091

浏览量:44263

下载量:305

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页