华为云VPN服务----轻松部署跨地域互联 楼主辛苦写的，欢迎参考。

如题。配置跨region的时候，比较方便。版主是不是反馈一下。

本帖最后由 樱桃小丸子 于 2017-10-28 11:33 编辑还在为vpn配置困难发愁吗？{:3_57:} 华为云，谢老师手把手教您vpn产品使用和配置，零基础带您配置，带您飞！{:2_37:} 抓紧时间看看vpn精彩文章：{:9_88:} 1、VPN开通和申请 http://support.huaweicloud.com/usermanual-vpn/zh-cn_topic_0060118606.html 2、HUAWEI USG6600配置示例http://support.huaweicloud.com/usermanual-vpn/zh-cn_topic_0053755649.html 3、CISCO CISCO-2900配置示例http://support.huaweicloud.com/usermanual-vpn/zh-cn_topic_0053755650.html 4、Cisco ASA5520配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=840&extra=page%3D1 5、H3C SecPath M9006配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=851&extra=page%3D1 6、HUAWEI AR2200配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=853&extra=page%3D1 7、Fortinet FortiGate-224B配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=859&extra=page%3D1

没太看懂，必须要公网IP吗

如题

没懂，为啥和阿里不太一样。。。你们带宽能到多少啊。

本帖最后由 樱桃小丸子 于 2017-10-28 11:32 编辑还在为vpn配置困难发愁吗？{:3_57:} 华为云，谢老师手把手教您vpn产品使用和配置，零基础带您配置，带您飞！{:2_37:} 抓紧时间看看vpn精彩文章：{:9_88:} 1、VPN开通和申请 http://support.huaweicloud.com/usermanual-vpn/zh-cn_topic_0060118606.html 2、HUAWEI USG6600配置示例http://support.huaweicloud.com/usermanual-vpn/zh-cn_topic_0053755649.html 3、CISCO CISCO-2900配置示例http://support.huaweicloud.com/usermanual-vpn/zh-cn_topic_0053755650.html 4、Cisco ASA5520配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=840&extra=page%3D1 5、H3C SecPath M9006配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=851&extra=page%3D1 6、HUAWEI AR2200配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=853&extra=page%3D1 7、Fortinet FortiGate-224B配置示例http://forum.huaweicloud.com/forum.php?mod=viewthread&tid=859&extra=page%3D1

本帖最后由 樱桃小丸子 于 2017-9-22 18:59 编辑Fortinet FortiGate-224B对接基础信息 Fortinet安全产品简介 Fortinet安全产品总体上可以分为5类： [*]网络安全：主要是各种型号的防火墙/VPN。 [*]网络访问安全：主要是无线接入安全、数据交换安全、端点与移动安全、用户认证等产品。 [*]架构安全：主要是控制器、DDoS、高级威胁防御、语音视频等相关产品。 [*]应用安全：主要是邮件、Web应用、数据库安全等产品。 [*]安全管理与分析报告：集中式网络安全报告、设备集中管理、基于云的安全管理及日志保留等产品。 华为vpn主要与网络安全类产品对接建立IPSec隧道，网络安全类产品的主要型号如下表所示。2215本文档以FortinetFortiGate-224B 3.00为例，介绍设备之间如何建立IPSec隧道。其配置流程都可归纳为如下图所示流程。2216IPSec默认值2219华为云vpn与FortiGate建立IPSec隧道 总部与分支网关的出接口公网IP地址都固定，华为云vpn以策略方式与FortiGate建立IPSec隧道。组网需求 如图所示，华为云vpn和FortiGate-224B分别作为总部和分支的企业网关连接Internet。现企业需要在华为云vpn和FortiGate-224B之间建立IPSec隧道，实现总部和分支安全互通。 由于华为云vpn与和FortiGate-224B的出口公网地址固定，可以采用策略方式建立IPSec隧道。此方式下，两端都可以主动发起协商建立IPSec隧道。 图1-1 策略方式建立IPSec隧道2217数据规划2218操作步骤 步骤 1 配置华为云vpn，请参考华为云官网vpn帮助中心，进行购买操作。 步骤 2 配置FortiGate。 1. 配置接口IP地址。 # 配置接口port03。 Fortigate # config system interface Fortigate (interface) # edit port03 Fortigate (port03) # set ip 2.2.2.2/24 Fortigate (port03) # set allowaccessping https ssh snmp http telnet Fortigate (port03) # end # 配置接口port10。 Fortigate # config system interface Fortigate (interface) # edit port10 Fortigate (port10) # set ip192.168.0.1/24 Fortigate (port10) # set allowaccessping https ssh snmp http telnet Fortigate (port10) # end 【点评】FortiGate-224B 3.00中，可以直接针对物理接口配置安全策略，因此无需将接口加入安全区域，当然，也可以将物理接口加入安全区域，然后针对安全区域配置安全策略。但对于tunnel接口，必须先将tunnel接口加入安全区域，才能针对安全区域（tunnel接口）配置安全策略。FortiGate-224B 3.00中，执行完配置命令后，必须执行end配置才能生效。 2. 配置IKE SA，指定IKE SA的名称、绑定的接口、协商模式、加密算法、认证算法、预共享密钥、对端地址、DH。 2222 【点评】FortiGate-224B 3.00中没有提供设置IKE版本的命令，默认使用V1。执行set interface将IKE SA绑定到指定的端口上，相当于在N**中将IPSec策略应用到接口。执行set proposal 3des-sha1设置IKE SA的加密算法（3des）、认证算法（sha1）。 3. 配置IPSec SA，指定IPSec SA的名称、绑定的IKE SA、加密算法、认证算法，DH。 2223 【点评】FortiGate-224B 3.00中没有提供设置封装模式、安全协议的命令，默认使用隧道模式、ESP。执行set phase1name指定IPSec SA引用的IKE SA。执行set proposal 3des-sha1设置IPSec SA的加密算法（3des）、认证算法（sha1）。执行dst-subnet、src-subnet定义被保护的数据流，相当于在N**中配置ACL。 4. 将tunnel口加入到untrust区域中。2224 【点评】IKE SA配置成功后，设备中将自动生成与IKE SA同名的tunnel接口，受保护流量将经过该tunnel接口。FortiGate-224B 3.00中，必须将tunnel接口加入安全区域后，才能针对安全区域（tunnel接口）配置安全策略。 5. 配置安全策略。# 配置port03与port10之间的安全策略。# 配置策略66，保证总部能够正常访问分支，配置策略99,，保证分支能够访问总部。 Fortigate # config firewall policy Fortigate (policy) # edit 66 Fortigate (66) # set srcintf port03 Fortigate (66) # set dstintf port10 Fortigate (66) # set srcaddr all Fortigate (66) # set dstaddr all Fortigate (66) # set action accept Fortigate (66) # set schedule always Fortigate (66) # set service ANY Fortigate (66) # end Fortigate # config firewall policy Fortigate (policy) # edit 99 Fortigate (99) # set srcintf port10 Fortigate (99) # set dstintf port03 Fortigate (99) # set srcaddr all Fortigate (99) # set dstaddr all Fortigate (99) # set action accept Fortigate (99) # set schedule always Fortigate (99) # set service ANY Fortigate (99) # end # 配置untrust与port10的安全策略，也就是tunnel接口与port10之间的安全策略。# 配置策略96，保证经过tunnel接口的流量能够进入分支内网，配置策略76，保证经过tunnel接口的流量能够透传到外网。Fortigate # config firewall policy Fortigate (policy) # edit 96 Fortigate (96) # set srcintf untrust Fortigate (96) # set dstintf port10 Fortigate (96) # set srcaddr all Fortigate (96) # set dstaddr all Fortigate (96) # set action accept Fortigate (96) # set schedule always Fortigate (96) # set service ANY Fortigate (96) # end Fortigate # config firewall policy Fortigate (policy) # edit 76 Fortigate (76) # set srcintf port10 Fortigate (76) # set dstintf untrust Fortigate (76) # set srcaddr all Fortigate (76) # set dstaddr all Fortigate (76) # set action accept Fortigate (76) # set schedule always Fortigate (76) # set service ANY Fortigate (76) # end 【点评】FortiGate-224B 3.00中，无需配置untrust和local之间的安全策略。 6. 配置路由。# 配置静态路由，将流量引入到tunnel接口。2225 # 配置连接到Internet的缺省路由，下一跳为2.2.2.3，经过端口port03。 Fortigate # config router static Fortigate (static) # edit 33 Fortigate (33) # set dst 0.0.0.0 0.0.0.0 Fortigate (33) # set gateway 2.2.2.3 Fortigate (33) # set device port03 Fortigate (33) # end ----结束

本帖最后由 樱桃小丸子 于 2017-9-22 18:52 编辑HUAWEI AR2200对接基础信息HUAWEI AR路由器产品简介 AR路由器是华为技术有限公司推出的集路由、交换、无线、语音、安全等功能于一体的新一代业务路由网关设备。AR一般位于企业网内部网络与外部网络的连接处，是内部网络与外部网络之间数据流的唯一出入口，能将多种业务部署在同一设备上，极大地降低了企业网络建设的初期投资与长期运维成本。用户可以根据企业用户规模选择不同规格的AR路由器作为出口网关设备。下图为AR2200设备IPSec业务配置的主流程，参考该图可以从整体上掌握IPSec业务的配置顺序，有助于理解IPSec业务的配置思路。 2184 IPSec默认值 2213华为云vpn与AR建立IPSec隧道背景信息如图所示，总部（华为云）和分支（客户数据中心）网关分别通过华为云vpn和AR设备接入Internet，现企业需要在华为云vpn和AR之间建立IPSec隧道，实现分支和总部内网互通。图1-1 华为云vpn以策略方式与AR建立IPSec隧道组网图 2186 2214操作步骤第一步：申请购买华为云vpn并配置，具体配置操作，请参考华为云官网vpn帮助中心。配置AR设备。1. 配置AR接口的IP地址。 system-view [Huawei] sysname AR [AR] interface GigabitEthernet 0/0/1 [AR-GigabitEthernet0/0/1] ip address 10.1.3.1 24 [AR-GigabitEthernet0/0/1] quit [AR] interface GigabitEthernet 0/0/2 [AR-GigabitEthernet0/0/2] ip address 1.1.5.1 24 [AR-GigabitEthernet0/0/2] quit2. 配置AR连接到Internet的缺省路由，假设下一跳地址为1.1.5.2。[AR] ip route-static 0.0.0.0 0.0.0.0 1.1.5.23. 配置IPSec策略。a. 配置访问控制列表，定义需要保护的数据流。[AR] acl 3000 [AR-acl-adv-3000] rule permit ip source10.1.3.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 [AR-acl-adv-3000] quitb. 配置IPSec安全提议。[AR] ipsec proposal tran1 [AR-ipsec-proposal-tran1] transform esp [AR-ipsec-proposal-tran1] encapsulation-mode tunnel [AR-ipsec-proposal-tran1] esp authentication-algorithm sha1 [AR-ipsec-proposal-tran1] esp encryption-algorithm aes-128 [AR-ipsec-proposal-tran1] quitc. 创建IKE安全提议。[AR] ike proposal 1 [AR-ike-proposal-1] encryption-algorithm aes-cbc-128 [AR-ike-proposal-1] authentication-algorithm sha1 [AR-ike-proposal-1] dh group2 [AR-ike-proposal-1] quitd. 配置IKE对等体。2220e. 配置isakmp方式的IPSec策略。2221f. 在接口GigabitEthernet 0/0/2上应用IPSec策略。[AR] interface GigabitEthernet 0/0/2 [AR-GigabitEthernet0/0/2] ipsec policy map1 [AR-GigabitEthernet0/0/2] quit----结束

本帖最后由 樱桃小丸子 于 2017-9-22 18:45 编辑H3C SecPath M9006对接基础信息H3C安全产品简介 H3C安全产品主要包括多业务安全网关、防火墙、WEB应用安全、安全审计系统、漏洞扫描系统、入侵防御系统、安全隔离系统、安全管理中心等。其中IPSec功能，其配置流程都可归纳为如下图所示流程。 21992200 IPSec默认值 2197 一、华为vpn与H3C网关建立IPSec隧道总部（华为云）与分支（客户中心数据机房）网关的出接口IP地址都固定，华为云vpn与数据中心建立IPSec隧道。组网需求如图所示，华为云vpn和H3C SecPath M9006分别作为总部和分支的企业网关连接Internet。现企业需要在华为云vpn和M9006之间建立IPSec隧道，实现总部和分支内网安全互通。由于华为云vpn与和M9006的出口公网地址固定，可以采用策略方式建立IPSec隧道。此方式下，两端都可以主动发起协商建立IPSec隧道。图1-1 基于策略方式的IPSec对接 2201 数据规划 2198 操作步骤步骤一：配置华为云vpc，请参考官网帮助中心文章 步骤二：配置M9006。1. 配置接口，并将接口加入安全区域。# 配置接口GE2/0/10接口，并将接口加入untrust安全区域。 system-view [H3C] interfaceTen-GigabitEthernet2/0/10 [H3C-Ten-GigabitEthernet2/0/10] portlink-mode route [H3C-Ten-GigabitEthernet2/0/10] ipaddress 2.2.2.2 255.255.255.0 [H3C-Ten-GigabitEthernet2/0/10] quit [H3C] security-zone name Untrust [H3C-security-zone-Untrust] importinterface Ten-GigabitEthernet 2/0/10 [H3C-security-zone-Untrust] quit # 配置接口GE2/0/9接口，并将接口加入trust安全区域 [H3C] interface Ten-GigabitEthernet2/0/9 [H3C-Ten-GigabitEthernet2/0/9] ipaddress 192.168.0.1 24 [H3C-Ten-GigabitEthernet2/0/9] quit [H3C] security-zone name Trust [H3C-security-zone-Trust] importinterface Ten-GigabitEthernet 2/0/9 [H3C-security-zone-Trust] quit 2. 配置安全策略。# 配置总部网络、分支网络两个对象组。[H3C] object-group ip address trust1 [H3C-obj-grp-ip-trust1] network subnet192.168.0.0 24 [H3C-obj-grp-ip-trust1] quit [H3C] object-group ip address untrust1 [H3C-obj-grp-ip-untrust1] network subnet192.168.10.0 24 [H3C-obj-grp-ip-untrust1] quit # 配置对象策略。[H3C] object-policy ip trust-untrust [H3C-object-policy-ip-trust-untrust] rulepass source-ip trust1 destination-ip untrust1 [H3C-object-policy-ip-trust-untrust] quit [H3C] object-policy ip untrust-trust [H3C-object-policy-ip-untrust-trust] rulepass source-ip untrust1 destination-ip trust1 [H3C-object-policy-ip-untrust-trust] quit # 配置untrust和trust之间的安全策略，保证总部网络和分支网络能够互通。[H3C] zone-pair security source trustdestination untrust [H3C-zone-pair-security-Trust-Untrust] object-policyapply ip trust-untrust [H3C-zone-pair-security-Trust-Untrust] quit [H3C] zone-pair security source untrustdestination trust [H3C-zone-pair-security-Untrust-Trust] object-policyapply ip untrust-trust [H3C-zone-pair-security-Untrust-Trust] quit # 配置ACL，用于local与untrust间的安全策略。[H3C] acl advanced 3999 [H3C-acl-ipv4-adv-3999] rule 0 permit ip [H3C-acl-ipv4-adv-3999] quit # 配置local与untrust之间的安全策略。[H3C] zone-pair security source untrustdestination local [H3C-zone-pair-security-Untrust-Local] packet-filter3999 [H3C-zone-pair-security-Untrust-Local] quit [H3C] zone-pair security source localdestination untrust [H3C-zone-pair-security-Local-Untrust] packet-filter3999 [H3C-zone-pair-security-Local-Untrust] quit 3. 配置路由。# 配置连接到Internet的缺省路由，假设下一跳为2.2.2.3。[H3C] ip route-static 0.0.0.0 0.0.0.02.2.2.3 4. 配置ACL，定义被保护的流量。# 源地址为192.168.0.0/24，目的地址为192.168.10.0/24的报文，需要经过IPSec隧道传输。定义的流量要与华为vpn中定义的流量互为镜像，否则协商失败[H3C] acl advanced 3000 [H3C-acl-ipv4-adv-3000] rule permit ipsource 192.168.0.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 [H3C-acl-ipv4-adv-3000] quit 5. 配置IKE安全提议。# 配置IKE安全协议，指定加密算法、认证算法、DH、认证方法，取值要与华为云vpn的配置值严格一致。# 配置认证算法时，设置为sha，M9006中sha也就是sha1。[H3C] ike proposal 1 [H3C-ike-proposal-1] encryption-algorithm3des [H3C-ike-proposal-1] authentication-methodpre-share [H3C-ike-proposal-1] authentication-algorithmsha [H3C-ike-proposal-1] dh group2 [H3C-ike-proposal-1] quit 6. 配置keychain。[H3C] ike keychain keychain1 [H3C-ike-keychain-keychain1] pre-shared-keyaddress 1.1.1.1 255.255.255.0 key simple 共享秘钥 [H3C-ike-keychain-keychain1] quit 7. 配置profile。[H3C] ike profile profile1 [H3C-ike-profile-profile1] keychainkeychain1 [H3C-ike-profile-profile1] proposal 1 [H3C-ike-profile-profile1] exchange-modemain [H3C-ike-profile-profile1] local-identityaddress 2.2.2.2 [H3C-ike-profile-profile1] match remoteidentity address 1.1.1.1 255.255.255.0 [H3C-ike-profile-profile1] match localaddress Ten-GigabitEthernet2/0/10 [H3C-ike-profile-profile1] quit 8. 配置IPSec安全提议。# 指定封装模式、安全协议，加密算法、认证算法，取值要与华为云vpn的配置值严格一致。[H3C] ipsec transform-set tran1 [H3C-ipsec-transform-set-tran1] encapsulation-modetunnel [H3C-ipsec-transform-set-tran1] protocolesp [H3C-ipsec-transform-set-tran1] espencryption-algorithm 3des [H3C-ipsec-transform-set-tran1] espauthentication-algorithm sha1 [H3C-ipsec-transform-set-tran1] quit 9. 配置IPSec策略。[H3C] ipsec policy map1 1 isakmp [H3C-ipsec-policy-isakmp-map1-1] remote-address1.1.1.1 [H3C-ipsec-policy-isakmp-map1-1] securityacl 3000 [H3C-ipsec-policy-isakmp-map1-1] transform-settran1 [H3C-ipsec-policy-isakmp-map1-1] ike-profileprofile1 [H3C-ipsec-policy-isakmp-map1-1] quit 10. 在接口上应用IPSec策略。[H3C] interfaceTen-GigabitEthernet2/0/10 [H3C-Ten-GigabitEthernet2/0/10] ipsecapply policy map1 [H3C-Ten-GigabitEthernet2/0/10] quit ----结束

本帖最后由 樱桃小丸子 于 2017-9-22 18:42 编辑Cisco ASA5520系列对接基础信息 一、Cisco ASA5520系列产品简介 Cisco ASA5520系列防火墙是Cisco公司推出的集路由、VPN、入侵防御多功能于一体的下一代状态检测防火墙。Cisco ASA5520系列防火墙共有如下11款产品，其VPN业务功能强大，可以满足大、中小企业远程办公各种需要。 本次举例中所使用的设备型号为Cisco ASA5520-K8设备，软件版本为9.1（2）。 下图列出了ASA5520-K8设备IPSec业务配置的主流程，参考该图可以从整体上掌握IPSec业务的配置顺序，有助于理解IPSec业务的配置思路。 2203 IPSec默认值 2192 二、华为云vpn与ASA建立IPSec隧道背景信息 如图所示，华为云（总部）和用户数据中心网关（分支机构）分别通过华为云vpn和ASA设备接入Internet，现企业需要在华为云vpn和ASA设备之间建立IPSec隧道，实现分支和总部内网安全互通。 2202 2195 操作步骤第一步： 配置华为VPN 请参考官网帮助中心，华为vpn配置指南 配置ASA设备。 1. 配置ASA接口的IP地址。 ASA5520> en ASA5520# configure terminal ASA5520(config)# interface GigabitEthernet 0/1 ASA5520(config-if)# nameif in ASA5520(config-if)# security-level 90 ASA5520(config-if)# ip address 10.1.3.1 255.255.255.0 ASA5520(config-if)# exit ASA5520(config)# interface interface GigabitEthernet 0/2 ASA5520(config-if)# nameif out ASA5520(config-if)# security-level 10 ASA5520(config-if)# ip address 1.1.5.1 255.255.255.0 ASA5520(config-if)# exit 2. 打开ASA接口的访问控制。 ASA5520(config)# access-list 10 extended permit icmp any any ASA5520(config)# access-group 10 in interface in ASA5520(config)# access-group 10 out interface in ASA5520(config)# access-group 10 in interface out ASA5520(config)# access-group 10 out interface out 3. 配置ASA到Internet的缺省路由，假设下一跳地址为1.1.5.2。 ASA5520(config)# route out 0.0.0.0 0.0.0.0 1.1.5.2 1 4. 配置IPSec。 a. 配置ACL（访问控制列表），定义需要保护的数据流。 这里需要注意，Cisco这里的ACL用的是掩码，而HUAWEI设备用的是反掩码，两者存在不同。 ASA5520(config)# access-list ipsec permit ip 10.1.3.0 255.255.255.0 10.1.1.0 255.255.255.0 ASA5520(config)# access-list ipsec permit ip 10.1.1.0 255.255.255.0 10.1.3.0 255.255.255.0 b. 配置IPSec安全提议。 ASA5520(config)# crypto ipsec transform-set myset esp-aes esp-sha-hmac c. 创建IKE安全提议。 ASA5520(config-isakmp-policy)# crypto isakmp policy 10 ASA5520(config-isakmp-policy)# authentication pre-share ASA5520(config-isakmp-policy)# encryption aes ASA5520(config-isakmp-policy)# hash sha ASA5520(config-isakmp-policy)# group 2 ASA5520(config-isakmp-policy)# lifetime 86400 d. 配置预共享密钥。 ASA5520(config)# crypto isakmp key *** address 1.1.3.1 e. 配置IPSec策略。 在IPSec策略中引用前面配置的ACL、IPSec安全提议。 ASA5520(config)# crypto map ipsec_map 10 match address ipsec ASA5520(config)# crypto map ipsec_map 10 set peer 1.1.3.1 ASA5520(config)# crypto map ipsec_map 10 set transform-set myset f. 在接口上应用IPSec策略。 ASA5520(config)# crypto map ipsec_map interface out g. 在接口上启用IPSec策略。 ASA5520(config)# crypto isakmp enable out ----结束 三、结果验证 配置完成后，使用分支下的用户Ping总部下的用户。

本帖最后由 樱桃小丸子 于 2017-9-22 18:40 编辑HUAWEI USG6600对端设备配置因为隧道的对称性，在云上的VPN参数和您的VPN中需要进行相同的配置，否则会导致VPN无法建立连接。在您自己数据中心的路由器或者防火墙上需要进行IPSec VPN隧道配置，具体配置方法取决于您使用的网络设备，请查询对应设备厂商的指导书。本文以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明，供参考。假设数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24 ，VPC上IPSec隧道的出口公网IP为93.188.242.110（从VPC上IPSecVPN的本端网关参数上获取）。操作步骤1. 登录防火墙设备的命令行配置界面。2. 查看防火墙版本信息。display version 17:20:502017/03/09Huawei VersatileSecurity Platform SoftwareSoftware Version:USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30)Copyright (C)2014-2016 Huawei Technologies Co., Ltd..3. 创建ACL并绑定到对应的acl number 3065vpn-instance vpn64rule 1 permit ipsource 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 2 permit ipsource 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255rule 3 permit ipsource 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255rule 4 permit ipsource 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255q 4. 创建ike proposal 64 dh group5 authentication-algorithmsha1 integrity-algorithmhmac-sha2-256 sa duration 3600 q5. 创建ikepeer，并引用之前创建的ike proposal，其中对端IP地址是ike peervpnikepeer_64pre-shared-key ********（********为您输入的预共享密码）ike-proposal 64undo version 2remote-addressvpn-instance vpn64 93.188.242.110sa bindingvpn-instance vpn64q6. 创建IPSec协议。ipsec proposalipsecpro64encapsulation-modetunnelespauthentication-algorithm sha1q7. 创建IPSec策略，并引用ike policy和ipsec proposal。ipsec policyvpnipsec64 1 isakmpsecurity acl 3065pfs dh-group5ike-peervpnikepeer_64proposal ipsecpro64local-addressxx.xx.xx.xxq8. 将IPSec策略应用到相应的子接口上去。interfaceGigabitEthernet0/0/2.64ipsec policyvpnipsec64q9. 测试连通性。在上述配置完成后，我们可以利用您在云中的主机和您数据中心的主机进行连通性测试，如下图所示：