1 组网说明如果客户使用深信服硬件设备，可跳过3.1、3.2 vAF配置部分通过在华为云企业版VPN和华为云部署vAF防火墙之间建立VPN连接，实现region间的数据传输。企业版VPN信息：VPN网关EIP1：123.249.80.12 ，EIP2: 123.249.78.180，企业版VPN子网：192.168.1.0/24、192.168.2.0/24深信服vAF信息：VPN网关 119.3.191.196， vAF侧子网：172.16.1.0/24、172.16.2.0/24因为深信服vAF不支持路由模式，所以不能使用企业版VPN推荐的静态路由模式对接，使用企业版VPN连接的对接；因为深信服vAF不支持双连接，所以只建立1个VPN连接；如果使用深信服硬件设备，建议使用IKEv1的野蛮模式，开启NAT-T配置，详见3.3节2 华为云企业版VPN配置2.1 企业版VPN网关配置创建一个企业版VPN网关，选用双活模式。2.2 客户网关配置2.3 企业版VPN连接配置3 深信服vAF配置3.1 vAF镜像获取及部署参考文档：深信服多云安全平台（MCSP）云下一代防火墙vAF部署实施指导书.pdf1、注册和登陆深信服云安全能力中心https://mcsp.sangfor.com.cn/index.html#/2、进入多云安全平台的系统设置，新增云接入管理账户，将已有华为云账户信息录入。3、进入云安全能力中心的云下一代防火墙AF的详情页面，申请试用。4、试用申请提交通过审批后，应用中心能看到vAF的应用，通过应用部署vAF，并能对创建的vAF进行试用授权5、VPC及相关安全组设置、授权等，请参考vAF部署实施指导书。6、通过https://EIP，登陆vAF，默认用户名和密码admin/admin。版本8.0.35R1。3.2 vAF的IPsec VPN公共配置1、修改接口eth0的接口属性，设置为WAN口，归属区域L3trustA2、登录华为云VPC，给vAF的VPC添加到华为VPN的路由 3、进入IPSecVPN-DLAN运行状态，使能vAF的IPSecVPN能力 4、进入IPSecVPN-基本设置，设置IPSecVPN线路，IPSecVPN线路的公网IP和高级中的VPN接口地址，都设置为vAF虚机的弹性IP地址。 3.3 vAF的IPsec VPN配置 1、配置访问控制策略，放通vAF出防火墙的流量，配置SNAT2、配置IPsecVPN，进入IPSecVPN-第三方对接管理，新增第三方设备。注意相关参数要保持和对端一致。同时加密数据流务必是子网1v1配置。如果使用深信服硬件设备，需要改用IKEv1的野蛮模式，开启NAT-T配置，以下配置以IKEv2对接，NAT-T无法配置4 VPN连接状态检查华为侧vAF侧5 连通性测试

1 组网说明通过在华为云和数据中心（IDC）的USG防火墙（测试版本USG6655F V600R021C10SPC600）之间建立VPN连接，实现云上云下的数据传输。华为云信息：VPN网关EIP1：100.93.8.79 ，EIP2: 100.85.120.67，华为云子网：10.80.0.0/16IDC信息：USG防火墙公网IP 10.113.210.14，IDC子网：192.168.71.0/24、192.168.81.0/24备注：使用华为云企业版VPN的静态路由模式与USG建立VPN连接，USG需要使用CLI下发配置。2 华为云企业版VPN配置2.1 企业版VPN网关配置创建双活网关2.2 企业版VPN连接配置连接模式使用静态路由，连接配置使能NQA生成的对端隧道接口地址稍后需要配置在USG上3 USG防火墙配置3.1 VPN连接配置使用CLI下发以下配置Tunnel的ip address为华为云企业版VPN连接的“对端隧道接口地址”，掩码30位除了remote-id、local-id、ike peer的remote-address，Tunnel的ip address、source、destination，以及配置名称不同外，另一条连接的其它参数相同# IKE策略配置 ike proposal 1 encryption-algorithm aes-128 dh group15 authentication-algorithm sha2-256 authentication-method pre-share integrity-algorithm hmac-sha2-256 prf hmac-sha2-256 # ## IPSec策略配置，pr100.85.120.67为名称 ipsec proposal pr100.85.120.67 encapsulation-mode auto esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ## IKE Peer配置，ik100.85.120.67为名称 ike peer ik100.85.120.67 undo version 1 exchange-mode auto pre-shared-key ***** ike-proposal 2 remote-id-type ip remote-id 100.85.120.67 local-id 10.113.210.14 dpd type periodic remote-address 100.85.120.67 # ## IPSec profile配置，ipsec01为名称 ipsec profile ipsec01 ike-peer ike100.93.8.79 proposal prop100.93.8.79 pfs dh-group15 # ## Tunnel接口绑定profile interface Tunnel1 ip address 169.254.71.1 255.255.255.252 tunnel-protocol ipsec undo service-manage enable ipsec profile ipsec01 source 10.113.210.14 destination 100.93.8.79 #3.2 NQA配置nqa test-instance d_tunnel1 d_tunnel1 test-type icmp destination-address ipv4 169.254.71.2 source-address ipv4 169.254.71.1 ttl 255 frequency 15 start now # nqa test-instance d_tunnel2 d_tunnel2 test-type icmp destination-address ipv4 169.254.81.2 source-address ipv4 169.254.81.1 ttl 255 frequency 15 start now3.3 静态路由配置ip route-static 10.80.0.0 255.255.0.0 Tunnel1 preference 70 track nqa d_tunnel1 d_tunnel1 ip route-static 10.80.0.0 255.255.0.0 Tunnel2 preference 70 track nqa d_tunnel2 d_tunnel24 VPN连接状态检查4.1 华为侧VPC路由企业版VPN连接状态4.2 USG侧display ike sadisplay ipsec sa br 4.3 流量检查，互ping能通

1 组网说明通过在华为云和阿里云之间建立VPN连接，实现云间的数据传输。华为云信息：VPN网关EIP1：110.41.148.28 ，EIP2: 124.71.21.149，华为云子网：192.168.0.0/16阿里云信息：VPN网关 47.104.135.173， 阿里云子网：172.16.0.0/162 华为云VPN配置2.1 客户网关配置2.2 VPN连接配置连接模式选用静态路由模式由于阿里侧无法看到Tunnel接口地址及配置，华为云连接配置不能使能NQA 2.3 华为云测试用私网ECS3 阿里云VPN配置3.1 VPC及子网配置3.2 阿里侧测试用私网ECS3.3 VPN网关配置3.4 用户网关配置3.5 VPN连接配置主连接IPSec_conn_01配置，备连接IPSec_conn_02配置类似。区别为关联的用户网关及RemoteID参数。健康检查配置为两侧可互通的ECS私网地址，主备连接配置相同。3.6 路由配置VPN网关路由配置：进入VPN网关，在目的路由表添加到华为侧VPC的路由，下一跳分别选择创建的两条IPSec连接，并选择发布到VPC。路由配置主连接IPSec_conn_01权重100，备连接IPSec_conn_02权重0。 4 连接状态检查4.1 华为云VPN连接状态4.2 阿里云IPsec连接状态及健康检查状态健康检查默认主连接为正常状态，备为异常。

一、网关类型在创建VPN网关的时候，我们需要选择关联模式：虚拟私有云（VPC）或 企业路由器（ER），指定互联子网或者接入子网，，最后还需要选择HA模式是双活还是主备。下面我们分别来看对接VPC和对接ER场景下的流量情况。二、对接VPC2.1、互联子网客户选择了互联子网后，在创建VPN时会从互联子网所在的网段里，占用4个IP用来给VPN内部通信使用我们在VPC页面的弹性网卡界面，能看到这4个私网ip的具体地址：可以看到这4个ip分成了两组，绑定了两个实例，每组一个downlink口和一个uplink口。这两个实例可以理解为对应VPN的两个公网IP，在uplink口（上行口）我们也能看到其绑定的弹性公网ip。所以大致的流量：从ECS出来的流量，到达VPC后查询VPC内的路由表将流量送到对应的downlink口，然后走对应的uplink口，最后走网关的公网IP出去。2.2、路由与流量对接VPC的场景，路由在创建VPN连接之后就会在VPC的路由表内自动生成到线下私网地址的路由，可以看到路由的下一跳地址正是该连接对应网关的downlink口地址同时，由于VPC的路由表到同一网段的路由只能配置一条，无法配置等价路由：所以在对接VPC时，不管我们的网关类型是双活还是主备，在与线下同一地址建立了两条连接的场景，出云流量只会根据VPC内的路由走向一个网关，也就是说VPC场景无法实现流量的负载分担。注：这个路由在双活网关场景，是根据创建连接的先后顺序确定的：比如我先用EIP1和线下建立了连接，再使用EIP2与线下又建立了一条连接，这个时候VPC内的路由会指向EIP1对应的网关的downlink，如果我们想让流量走EIP2的VPN连接，可以在VPC内的路由表里手动修改路由的下一跳为EIP2的网关的downlink口地址。在主备网关场景，会优先指向主EIP的downlink。三、对接ER3.1、接入子网与上面的互联子网类似，不同的是对接ER时只会从我们选择的接入子网中占用2个ip；在接入VPC的辅助弹性网卡界面，我们能看到两个uplink口的地址，以及对应的网关IP。这个时候从ECS出来的流量会先从VPC送到ER，再根据ER里的策略选择对应的VPN送出，因此云上有两处路由需要注意。3.2 、路由与流量（1）从VPC 到ER的路由。首先，我们在需要在ER-》连接-》添加连接里关联上业务VPC（注意和接入VPC做好区分，虽然一般场景接入VPC就是业务VPC）。此时，如果勾选配置连接侧路由，就会在接入VPC内自动生成10.0.0.0/8，172.16.0.0/12，192.168.0.0/16这三个大段的默认路由，指向企业路由器一般不勾选，则需要我们手动将线下私网的网段添加到VPC内的路由表内，目的地址为VPN的远端子网地址，下一跳类型为企业路由器，下一跳选择ER。（2）ER-》VPN网关的路由网关创建完成后，会默认在ER里关联上VPN网关，不需要手动添加此时，我们在ER的路由表中能看到两条路由:一条是从ER到VPC的，目的地址是VPC的网段，这一条是关联VPC后自动生成。一条是从ER到VPN的，目的地址是VPN里配置的对端子网，注意：这条路由需要在VPN连接创建完成且连接建立成功后才会传递到ER，和直接对接VPC时有所区别。同时，在双活场景配置双连接之后，两条连接传播给ER的路由优先级相同，这样就可以实现流量负载；而主备场景，主网关给ER传播的路由优先级更高，因此流量会优先走主连接。此外，VPN最大规格1G，可以通过创建多个网关关联ER，来实现大带宽的需求场景；如下图，如果每个IP都是1G的规格，理论上可以支持4G的带宽场景四、总结1、流量对接VPC不支持流量负载，出云流量只会走一条连接，入云由客户侧决定是走一条还是两条。对接ER可以实现流量负载，存在多条连接时，由ER的负载策略决定流量走到哪条/哪几条连接。2、路由对接VPC时路由在连接创建完成后自动生成，无需手动添加。对接ER时，VPC路由需手动添加，ER内的路由在VPN连接创建且建立成功之后才会传播。

1、NQA探测是什么从本端的隧道接口地址一直向对端的隧道接口地址发送ping报文，如果收到对端的ping响应，则探测成功，否则探测失败。NQA探测通过ping对端隧道接口地址检测对端的状态，用于在创建了双连接的场景下，当对端设备异常异常导致主连接流量不通时，能通过NQA探测迅速识别到异常，实现自动将流量切到备连接上，减少业务中断风险。如果nqa探测失败，将会使云上网关上到对端私网的静态路由失效，此时连接状态显示正常，但是私网不通。所谓镜像配置，是指客户需要在对端网关设备上配置这个两个地址，与云上配置的这两个地址对应（云下的对端隧道地址为云上的本端隧道地址），且保证客户侧的隧道接口地址是能ping通的。确认方式：在console上查看VPN连接显示正常，但是点击 查看监控 可以发现隧道丢包率100%2、只有静态路由模式才会有nqa探测，nqa探测是绑定在静态路由上面的。3、动态BGP模式和策略模式在VPN连接配置时都没有nqa探测，但是需要注意，BGP模式也需要两边镜像配置配置隧道接口地址，并保证互通，不然bgp邻居无法建立。4、nqa探测主要的使用场景：华为云上双连接，通过nqa探测进行快速链路切换，减少业务中断时间 —— 未部署nqa时通过DPD探测进行链路切换。5、阿里云不支持nqa探测，原因是阿里云侧静态路由模式下无法获取tunnel口地址，导致华为云侧连接下tunnel口无法配置为镜像关系。6、AWS不支持nqa探测，原因是AWS侧的tunnel口不支持ping，本端ping对端tunnel口地址，ping不通。7、nqa探测在对接华为AR设备时效果较好。8、nqa探测是单向的。华为云上如果勾选了使能nqa探测，则一直是本端向对端发送ping报文，若收到对端响应，则本端nqa探测成功。类似地，对端设备也可以配置nqa探测，向本端发送ping报文，对端收到本端的响应，则对端nqa探测成功。9、路由模式下配nqa为什么tunnel口必须镜像配置：因为nqa探测是本端tunnel口地址去ping对端tunnel口地址，云上使能nqa探测时，会下发对端的tunnel口ip到云上数据面网关，只有tunnel口互为镜像，才能ping通对端。10、nqa探测周期为15s，探测频率为15s内ping3个包，若3个包都不通则判断探测失败，一般主备切换会在两个nqa探测周期内。

1 dpd配置参数含义华为云默认开启DPD配置，且不可关闭该配置。DPD配置信息如下：DPD-type：1. 按需型（On-demand）：当本端需要向对端发送IPSec报文时，如果当前距离最后一次收到对端的IPSec报文的时长已超过DPD空闲时间，则触发DPD检测，本端主动向对端发送DPD请求报文。2. 周期型（Periodic）：如果当前距离最后一次收到对端的IPSec报文或DPD请求报文的时长已超过DPD空闲时间，则本端主动向对端发送DPD请求报文。DPD idle-time：DPD 空闲时间DPD retransmit-interval：DPD 重传间隔DPD retry-limit：DPD 重试限制DPD msg：seq-hash-notify：DPD载荷顺序两端DPD的type、空闲时间、重传间隔、重传次数无需一致，只要能接收和回应华为云的DPD探测报文即可，DPD msg格式必须一致。2 经典型vpn的dpd配置全局使能ike dpd，单个连接没有开启dpdike dpd type periodic/on-demand 现网两种情况都有ike dpd idle-time 10（缺省30）ike dpd retransmit-interval 2 （缺省15）retry-limit 没有配置，默认33 企业版vpn的dpd配置DPD:EnableDPD type:periodicDPD retry-limit:3DPD retransmit-interval(s): 15DPD idle-time(s): 30DPD msg:seq-hash-notify有流量场景，中断超时时间 90~120s无流量场景，中断超时时间 60~90s4 正在使用的连接报错dpdtimeout该如何排查可能原因一：出现DPD超时的连接中断时因为两端网络访问无数据，在SA老化后发送DPD未得到对端响应而删除连接。解决方法：1、开启用户侧数据中心设备的DPD配置，测试两端的数据流均可触发连接建立；2、在两端的主机中部署Ping shell脚本，也可在用户侧数据中心的子网的网关设备上配置保活数据，如华为设备的NQA。可能原因二：公网不通导致报错dpdtimeout，这种情况也包含两边带宽打满导致公网不通5 特殊案例：对接飞塔设备报错dpdtimeoutDPD探测为按需，导致VPN连接出现“假死”状态，流量不通假死：即一端看VPN已经断开，但另一端上看VPN仍然在连接。DPD探测报文的逻辑和计数澄清（摘抄自FortiGate产品实施一本通：cid:link_0-VPN技术-IPsecVPN-点到点VPN-Monitor方式主备IPsec VPN与DPD的关系）：1.探测各自独立，如果分支和中心端两边配置了on-idle，分支和中心端都会按照本端的探测周期进行探测。2.探测方发送R-U-THERE，接收方回复R-U-THERE-ACK，如果发送方没有接收到接收方回复的R-U-THERE-ACK，认为此次探测失败。默认三次失败后认为VPN隧道需要down。3.DPD探测模式有两种，一种是on-idle（空闲），一种是on-demand（按需），再次强调，on-idle跟隧道流量无关，是周期性探测。On-demand当隧道发送了流量且没有回复的情况下才会触发开始探测。实际中强烈建议配置成on-idle这种周期性探测，避免隧道假死。4.DPD探测要求两端设备都有能力支持才可以。两端可以不同时启用，但是只要一端启用，对端得有能力支持才可以让启用的一段发送DPD探测报文。

【协商篇】1、检查两端协商参数配置是否一致，确认云下的协商设备是否处于IDC出口，非出口设备协商请使用IKEv1的野蛮模式，其它组网推荐使用IKEv2的默认协商策略；说明：连接已建立跳过此步。2、确认两端是否在该公网IP上建立多条连接，确认每条连接的感兴趣流子网不存在冲突或重叠；注意：同一网关下多条连接存在感兴趣流重叠时，云下设备按照创建的连接序号进行匹配，序号越小越优先；云上则按照创建时间先后顺序配置，最早创建的优先，并非按照子网的掩码长度匹配。3、感兴趣流中的云下或云上的子网请使用明细IP+掩码配置，勿使用地址组包含多个子网的方式配置；4、确认云下网络是否存在多出口，若存在多出口请指定访问华为云公网IP及私网IP（NAT穿越的出口只指定公网IP即可）均从协商IP所在接口流出，不能使用动态负载。5、基础配置检查无误后，请检查NAT配置。确保云下子网访问云上子网的数据在出接口不被NAT；云下设备的接口IP在访问华为云公网IP时不被NAT。6、检查安全策略配置，确保云下子网与云上子网的数据互访全服务放行；云下公网IP云云上VPN网关IP互访放行AH、ESP以及UDP的500和4500。【丢包篇】7、确认网络组网是否多出口，是否因为负载导致丢包，连接中断亦请排查该项，务必使得数据流恒定的走特定出口访问华为云。8、优先检查公网质量。可以从云下的网关IP ping测试华为云VPN网关IP（华为云网关IP缺省放行ICMP报文）检查是否有丢包。同时ping测试其它非华为云公网IP，若两个公网IP同时丢包时，建议向您的网络提供运营商求助；若只有访问华为云丢包，执行下一步。9、检查VPN网关的带宽使用情况，若存在带宽超限时，请扩容VPN网关的带宽规格。若以上情况均未出现，请您通过工单告知我们。10、云侧运维人员需要排查公网出口质量，整体带宽配额使用情况，安全流量配置等信息，确认是否出现异常丢包。【中断篇】11、公网出现异常抖动，导致一侧删除连接，且通知对端的删除报文被丢弃，此时会出现单边存在SA（需要等待SA老化才能在这一端发起协商），请在没有SA的一侧发起协商流。12、检查VPN网关的带宽使用情况，在出现带宽超限的情况下，华为云会出现因为收不到对端的DPD探测回包而断开连接。此时仍需要您扩容带宽规格。13、确认配置是否改变，检查配置信息是否一致，通过云下设备的协商报错信息判断中断原因。14、确认隧道是否一直有流量，若隧道无流量且对端设备不应答华为云的DPD请求报文报文（例如报文格式不一致，华为云DPD封装格式为seq-hash-notify）建议配置长ping保活脚本。保活脚本链接：https://support.huaweicloud.com/intl/zh-cn/vpn_faq/vpn_08_1201.html

1 iperf1.1 安装iperf3ECS绑定EIP：yum install -y iperf3linux通用方式：wget https://iperf.fr/download/source/iperf-3.1.3-source.tar.gz tar zxvf iperf-3.1.3-source.tar.gz cd iperf-3.1.3 ./configure make make install1.2 修改内核缓冲区参数操作系统做了如下修改来避免系统的性能问题：echo 16777216 > /proc/sys/net/core/rmem_maxecho 16777216 > /proc/sys/net/core/rmem_defaultecho 16777216 > /proc/sys/net/core/wmem_maxecho 16777216 > /proc/sys/net/core/wmem_default1.3 开启Server端iperf3 -s (-p 20000) -s: 指定为服务端；-p: 指定监听端口,默认端口52011.4 client端打流iperf3 -c x.x.x.x (-p 20000) (-i x) (-t x) (-u) (-b x) (-l x) (-P x)-c: 指定为客户端 后跟目标；-p: 指定连接端口；-i：在控制台间隔多久时间(s)打印一条统计信息-t: 指定连接时间(s);-u: 默认为TCP连接，-u使用UDP连接；-b: 指定带宽-l: 包长x字节，TCP方式默认为8KB，UDP方式默认为1470字节-P: 到服务器的同时连接数(线程数)。默认值为1，带宽300M后需要多线程。-R：以反向模式运行（服务器发送，客户端接收）例如：//TCP方式连接服务端1.1.1.1，持续1000s，每秒打印一条统计信息，带宽为300Miperf3 -c 1.1.1.1 -t 1000 -i 1 -b 300M//UDP方式连接服务端1.1.1.1，持续1000s，每秒打印一条统计信息，带宽为1Giperf3 -c 1.1.1.1 -t 1000 -i 1 -b 1G -u1.5 注意事项1、测试之前确认两端ECS的基准带宽/最大带宽，确保基准带宽大于测试的带宽。2、网络收发包量的测试同时还会受到缓冲区大小的影响，默认的缓冲区比较小的话，会造成实例到达高pps丢包的现象，因此建议在测试前调整下缓冲区大小 2 mtr参考：MTR工具使用说明与结果分析：https://help.aliyun.com/zh/ecs/use-mtr-and-analyze-the-mtr-test-results/MTR命令解析：https://commandnotfound.cn/linux/1/463/mtr-%E5%91%BD%E4%BB%A4第一列（Host）：IP地址和域名，按n键可以切换IP和域名第二列（Loss%）：丢包率第三列（Snt）：设置每秒发送数据包的数量，参数-c可以指定发包数量第四列（Last）：最近一次ping的时延值第五列（Avg）：是平均值 这个应该是发送ping包的平均时延第六列（Best）：是最好或者说时延最短的第七列（Wrst）：是最差或者说时延最常的第八列（StDev）：标准偏差3 ping检测目标连通性3.1 常用参数参考：Linux ping命令：https://www.runoob.com/linux/linux-comm-ping.html-c <完成次数> 设置完成要求回应的次数（发包数）-s<数据包大小> 设置数据包的大小4 ARPINGarping 命令是用于发送 arp 请求到一个相邻主机的工具，arping 使用 arp 数据包，通过 ping 命令检查设备上的硬件地址。能够测试一个 ip 地址是否是在本地网络上已经被使用，并能够获取更多设备信息。参考：arping 命令详解：https://commandnotfound.cn/linux/1/112/arping-%E5%91%BD%E4%BB%A4#查看某个IP的MAC地址arping <destination>5 tracepath/traceroute/tracert主要作用：跟踪路由工具使用系统请求报文tracertWindowsicmp echo报文tracepathLinuxUDP的报文tracerouteLinux默认UDP报文，可参数指定ICMP（-I --icmp）或TCP（-T --tcp）参考：https://commandnotfound.cn/linux/1/335/traceroute-%E5%91%BD%E4%BB%A4tracepath：上个节点到这个节点的时间traceroute结果里的每行的三个时间，是上个节点到这个节点的时间。每一跳都发送3个包

一、什么是公网网关和私网网关创建企业版VPN网关时可以选择网络类型，分为公网和私网，不管是哪种类型的网关，都需要保证两个网关IP之间能正常通信，才能协商建立连接。二、两者的区别公网：VPN网关通过Internet网络和用户数据中心的对端网关进行通信。私网：VPN网关通过私有网络和用户数据中心的对端网关进行通信。三、使用场景公网网关：华为云region间搭建加密连接通道、华为云到客户线下IDC通过公网搭建加密连接通道​私网网关：通过VPN实现专线加密，参考链接：cid:link_0​

一、什么是安全策略USG防火墙产品手册：https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&id=ZH-CN_CONCEPT_0178935592二、trust域，untrust域和local域      对于VPN来说，local域可以简单理解为本端网关所在域，trust即为本端内网所在的安全区域，untrust可以理解为对端网关和对端子网所在域；      因此，需要配置四条策略来保证VPN的正常通信 （1）untrust  --》 local  ：在安全策略中配置源区域为untrust，目的区域为local的安全策略，这里的untrust通常是对端公网，local是本端公网（2）local  --》 untrust ： 在安全策略中配置源区域为local，目的区域为untrust的安全策略，这里的untrust通常是对端公网，local是本端公网（3）trust --》untrust：在安全策略中配置源区域为trust，目的区域为untrust的安全策略，出去的业务流，trust是本端子网，untrust是对端子网（4）untrust --》trust：在安全策略中配置源区域为untrust，目的区域为trust的安全策略，进来的业务流，trust是本端子网，untrust是对端子网

作者 : 华为云VPN服务团队一、拓扑说明如下图拓扑所示，华为USG防火墙与H3C SecPath防火墙通过建立IPsec VPN连接，实现两台主机间互访。两台防火墙之间建立IPsec VPN使用的策略配置与华为云缺省策略配置相同，本实例等同于华为云的虚拟专用网络与云下H3C防火墙（或华为USG防火墙）使用IKE Version 2 建立VPN连接的过程(华为云使用IKEv2协商IPSec时，感兴趣流配置请使用明细网段，请勿使用地址组）。华为USG防火墙连接运营商出口的IP为21.1.1.100/24，网关为21.1.1.1；H3C SecPath防火墙连接运营商出口的IP为21.2.2.100/24，网关为21.2.2.1；防火墙分别启用了loopback接口来模拟PC主机，IP地址分别为21.21.21.21/32和22.22.22.22/32。建立IPsec VPN连接的详细策略配置见图示说明。本实例分别指导H3C SecPath防火墙与华为USG防火墙IPsec VPN详细配置。二、H3C SecPath防火墙配置1、基础网络配置interface GigabitEthernet1/0/2.100                     //互联internet接口       vlan-type dot1q 1ip address 21.2.2.100 255.255.255.0security-zone name Untrust       import interface GigabitEthernet1/0/2.100           //将接口划入untrust区域interface LoopBack1000                             //模拟主机IP接口       ip address 22.22.22.22 255.255.255.255object-group ip address local22                   //定义本端地址对象，local22为名称，地址对象用于安全策略配置       security-zone Local                              //声明此地址处于local区域       0 network host address 22.22.22.22object-group ip address remote21                //定义远端地址对象，remote21为名称，地址对象用于安全策略配置       security-zone Untrust                            //声明此地址处于untrust区域       0 network host address 21.21.21.21security-policy ip                               //配置IP访问策略，确认感兴趣流不被NATrule 1 name ipsec100            //放行本地22到远端21的访问          action pass          counting enable          source-zone Local            //客户现场环境多为trust，本配置为Local          destination-zone Untrust          source-ip local22          destination-ip remote21rule 2 name ipsec101            //放行远端21到本地22的访问          action pass          counting enable          source-zone Untrust          destination-zone Local          source-ip remote21          destination-ip local222、IKE 策略配置ikev2 proposal 220 encryption aes-cbc-128 integrity sha256 dh group5 prf sha1dis ikev2 proposal default          //查询ike v2提议的缺省配置IKEv2 proposal : default  Encryption: AES-CBC-128 3DES-CBC  Integrity: SHA1 MD5  PRF: SHA1 MD5  DH Group: MODP1536/Group5 MODP1024/Group2 ikev2 keychain peerv2            //创建IKEv2密钥，并命名为peerv2        peer name2100                 //命名peer名称为name2100，名称本地有效                address 21.1.1.100 255.255.255.255              //配置远端IP                pre-shared-key local plaintext key123           //配置共享密钥                pre-shared-key remote plaintext key123ikev2 profile ikev2100                //创建ikev2版本的profile，并命名为ikev2100        authentication-method local pre-share                     //指定本端认证方式        authentication-method remote pre-share               //指定远端认证方式        keychain peerv2                //调用密钥配置        identity local address 21.2.2.100          //本端地址标识  match local address 21.2.2.100            //本端地址        match remote identity address 21.1.1.100 255.255.255.255       //远端地址标识ikev2 policy ikepolicyv2100       //创建ikev2policy，并命名为ikepolicyv2100        proposal 220                                                   //调用ikev2提议220  match local address 21.2.2.100                 //指定本端地址3、IPsec 策略配置acl advanced 3999         //配置ACL，定义感兴趣流，请务必使用子网+掩码的方式配置感兴趣流      rule 0 permit ip source 22.22.22.22 0 destination 21.21.21.21 0ipsec transform-set ipsec-set         //IPsec Proposal，缺省封装模式为Tunnel       esp encryption-algorithm aes-cbc-128      esp authentication-algorithm sha1pfs dh-group5                        //华为云必须使能PFSipsec policy map-ipsec 100 isakmp     //配置ipsec策略，使用IKE策略建立连接     transform-set ipsec-set         //调用IPsec Propsal     security acl 3999                //调用ACL 3999     local-address 21.2.2.100             //本端地址     remote-address 21.1.1.100          //远端地址     ikev2-profile ikev2100        //调用ike策略配置     sa duration time-based 3600        //配置生命周期4、出接口应用IPsec策略interface GigabitEthernet1/0/2.100             ipsec apply policy map-ipsec5、路由配置ip route-static 21.1.1.0 255.255.255.0 21.2.2.1              //配置远端网关路由，真实客户场景无需此条配置，缺省路由可达ip route-static 21.21.21.21 255.255.255.255 21.2.2.1            //21.2.2.1出接口网关IP6、结果验证ping -a 22.22.22.22 21.21.21.21               //以本端主机为源ping远端主机display ikev2 sa         //每一对子网间建立一条SAipsec验证略，详细信息见与一阶段配置结果相同。三、华为USG防火墙配置★★★华为IKEV1变V2只需修改一条命令即可：在IKE PEER视图下使用命令undo version 1关闭版本1，其它配置不变★★★1、基础网络配置interface GigabitEthernet1/0/7.100             //互联internet接口 vlan-type dot1q 1ip address 21.1.1.100 255.255.255.0firewall zone untrust add interface GigabitEthernet1/0/7.100            //将接口划入untrust区域interface LoopBack2222                      //模拟主机IP接口 ip address 21.21.21.21 255.255.255.255ip address-set local21 type object                //定义本端地址对象，local21为名称，地址对象用于安全策略配置address 0 21.21.21.21 mask 32ip address-set remote22 type object            //定义远端地址对象，remote22为名称，地址对象用于安全策略配置 address 0 22.22.22.22 mask 32security-policy                      //配置IP访问策略，确认感兴趣流不被NATrule name policy-ipsec100                //放行本地21到远端22的访问  policy logging  source-zone local                   //客户现场环境多为trust，本配置为Local  destination-zone untrust  source-address address-set local21  destination-address address-set remote22  action permit rule name policy-ipsec101       //放行远端22到本地21的访问  policy logging  source-zone untrust  destination-zone local  source-address address-set remote22  destination-address address-set local21  action permit2、IKE 策略配置ike proposal 1024                       //配置ike提议，1024为提议编号，华为设备IKE提议不区分版本encryption-algorithm aes-128                     //ikev1、ikev2使用dh group5                                                    //ikev1、ikev2使用authentication-algorithm sha1                    //仅ikev1使用authentication-method pre-share               //ikev1、ikev2使用integrity-algorithm hmac-sha2-256            //仅ikev2使用prf hmac-sha1                                              //仅ikev2使用display ike proposal defaultIKE Proposal: Default   Authentication Method      : PRE_SHARED   Authentication Algorithm     : SHA2-512 SHA2-384 SHA2-256   Encryption Algorithm       : AES-256 AES-192 AES-128   Diffie-Hellman Group       : MODP-2048   SA Duration(Seconds)       : 86400   Integrity Algorithm         : HMAC-SHA2-256   Prf Algorithm             : HMAC-SHA2-256ike peer ike21.2.2.100 undo version 1                 //关闭ikev1 启用V2版本 pre-shared-key key123            //预共享密钥 ike-proposal 1024          //调用ike proposal remote-address 21.2.2.100        //远端地址3、IPsec 策略配置acl number 3999                         //配置ACL，定义感兴趣流，请务必使用子网+掩码的方式配置感兴趣流        rule 5 permit ip source 21.21.21.21 0 destination 22.22.22.22 0ipsec proposal ipsec21.2.2.100                 //配置传输协议及参数，缺省封装模式为tunnel        esp authentication-algorithm sha1        esp encryption-algorithm aes-128ipsec policy ipsec100 100 isakmp          //配置ipsec策略，使用IKE策略建立连接 security acl 3999                      //调用ACL 3999 pfs dh-group5                        //华为云必须使能PFS ike-peer ike21.2.2.100           //调用ike策略配置 proposal ipsec21.2.2.100       //调用IPsec Propsal tunnel local 21.1.1.100        //本端地址4、出接口应用IPsec策略interface GigabitEthernet1/0/7.100 ipsec policy ipsec1005、路由配置ip route-static 21.2.2.0 255.255.255.0 21.1.1.1            //配置远端网关路由，真实客户场景无需此条配置，缺省路由可达ip route-static 22.22.22.22 255.255.255.255 21.1.1.1            //21.1.1.1出接口网关IP6、结果验证ping -a 21.21.21.21 22.22.22.22               //以本端主机为源ping远端主机display ike sa remote 21.2.2.100            //每一对子网间建立一条SAipsec验证略，详细信息见与一阶段配置结果相同。

作者 : 华为云VPN服务团队对接需求：通过在华为云和腾讯云之间建立VPN连接，实现云间的数据传输。一、连接拓扑拓扑说明：    华为云端网络信息：VPN网关11.11.11.11 云端子网：10.10.10.0/24    腾讯云端网络信息：VPN网关22.22.22.22 云端子网：10.20.20.0/24 二、华为云配置①创建VPC，设置网络和子网信息后创建VPN网关和连接。   连接本端网关11.11.11.11，本端子网10.10.10.0/24   连接远端网关22.22.22.22，远端子网10.20.20.0/24   连接策略选用华为云缺省配置②华为云VPN连接缺省策略配置说明  为确保协商信息一致，请在腾讯云创建VPN通道时使用上图协商信息进行配置。三、腾讯云VPN配置登录腾讯云账号，进入云产品的私有网络页面，选择VPN连接，分别进行创建VPN网关、对端网关、VPN通道，然后创建去往华为云VPC子网路由（默认您以及完成了VPC、子网及服务器的创建）。①   创建VPN网关  选择VPN连接下的VPN网关页签，在右侧窗口选择地区后点击新建，输入网关的名称，选择创建网关对应的VPC子网以及带宽和计费方式后进行创建。②   创建对端网关   选择对端网关进行新建，输入对端网关名称的公网IP即可。    ③  创建VPN通道-基本配置   创建VPN通道分为基本配置、SPD配置、IKE配置、IPsec配置四个步骤。如下图为创建VPN通道的基本配置步骤。   在基本配置界面请输入创建通道的名称，选择地域，VPC私有子网，已创建的VPN网关，对端网关（选择②创建的对端网关，也可在此步骤进行新建）和预共享密钥。    ④  创建VPN通道-SPD配置   添加本端子网（腾讯与子网）和远端子网（华为云子网）的信息，多个子网点击新增一行配置。    ⑤  创建VPN通道-IKE配置  请修改IKE策略与华为云IKE策略一致，将不一致信息修改为红色字体内容。  ⑥ 创建VPN通道-IPsec配置  请修改IPsec策略与华为云IPsec策略一致，将不一致信息修改为红色字体内容。  ⑦ 修改子网路由策略  增加去往华为云子网的路由，下一跳类型为VPN网关,下一跳为②创建的VPN网关名称。 ⑧ 确认服务器调用的安全组放行了入放行的ICMP协议。五、验证连接  从华为云ECS服务器ping腾讯云服务器主机IP地址，或从腾讯云服务器主机ping华为云ECS服务器IP，以触发VPN连接的建立。

作者 : 华为云VPN服务团队一、拓扑说明如图拓扑所示，您本地数据中心的出口防火墙选用深信服设备，同时在DMZ区域旁路接入了一台IPsec VPN设备，通过VPN接入华为云网络时，您有两种选择：1、使用防火墙设备直接和云端建立VPN连接；2、使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接；本指南介绍两种VPN接入方式的配置指导，相关信息说明如下：1、本地数据中心VPN设备私网IP 10.10.10.10/24；2、用户需要访问云上VPC的本地子网为10.0.0.0/16；3、NAT出口IP 11.11.11.2/24，公网网关11.11.11.1，VPN设备的NAT IP 11.11.11.11；4、云端VPN网关IP 22.22.22.22，云端子网172.16.0.0/16；现通过创建VPN连接方式来连通本地网络到VPC子网。华为云端的VPN连接资源策略配置按照如下图信息配置，使用DMZ区域专用的VPN设备进行NAT穿越连接时，协商模式修改为野蛮模式；使用防火墙进行连接协商模式选择缺省主模式或野蛮模式。本实例以华为云端VPN配置信息为基础，详细介绍用户侧深信服设备的VPN配置。二、深信服配置1、配置IPsecVPN① IKE一阶段配置选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第一阶段】，确认线路出口（深信服设备会针对该接口自动下发VPN路由信息），选择“新增”第一阶段在弹窗界面配置一阶段基本信息和高级配置项，配置界面如下图所示  基本信息设备名称：自主命名一阶段连接名称，二阶段会调用此设备名称下的相关配置设备地址类型：选择“对端是固定IP”固定IP：云端VPN网关IP，本实例IP为22.22.22.22认证方式：预共享密钥，即PSK，与云端密钥相同勾选启用设备，启用主动连接为可选配置高级配置ISAKMP存活时间：与云端相同86400s支持模式：深信服设备存在NAT穿越场景时推荐选择“野蛮模式”D-H群：与云端一致，选择“MODP1536群（5）”本端/远端身份类型：IP地址，身份ID选择网关IP，NAT场景选择NAT后的IP使用DMZ专用VPN设备选择开启NAT穿越，选择防火墙不开启NAT穿越DPD为必选配置，加密和认证算法与云端一致，华为云DPD格式为seq-hash-notify② IPsec二阶段配置选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第二阶段】，分别新增“入站策略”和“出站策略”，详细配置见下图所示；入站策略       策略名称：自主命名源IP类型：选择“子网和掩码”子网及掩码：填写流入本地的子网信息，多个子网逐条创建对端设备：调用IKE一阶段配置的对端IP，此处选择一阶段【设备名称】入站服务选择所有，生效时间选择全天，并启用该策略出站策略策略名称：自主命名策略源IP类型：选择“子网和掩码”子网及掩码：填写流出本地的子网信息，多个子网逐条创建对端设备：调用IKE一阶段配置的对端IP，此处选择一阶段【设备名称】SA生存时间：选择和云端一致的3600s出站服务选择所有，生效时间选择全天，并启用该策略密钥完美向前保密：启用，即开启PFS，此时深信服设备的DH group会与IKE阶段group相同二阶段存在多个子网时，每一个出站规则都需要勾选配置“启用密钥完美向前保密”！ ③ 安全选项配置选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【安全选项】，选择“新增”按钮，在弹出页面配置自定义名称，协议选择与云端相同的“ESP”，认证和加密算法也与云端配置相同，详细配置见下图所示2、配置路由选择【网络】>>【路由】>>【静态路由】后进行新增操作（不同类别设备的操作页面存在差异）。①  使用DMZ区域专用网络配置连接VPN设备使用原有缺省路由即可，对应VPN路由在IPsec配置时会自动生成；防火墙添加目标地址为云端子网，下一跳为VPN设备建立VPN连接的私网IP；②  使用防火墙配置VPN连接（该场景下不涉及专用网络配置）防火墙添加目标地址为云端子网，下一跳为出接口的公网IP3、配置策略及NAT选择【网络】>>【地址转换】进行新增操作，配置NAT信息；选择【访问控制】>>【应用控制策略】进行新增操作，配置访问策略。在本实例拓扑中，选择防火墙或DMZ区域专用网络，在策略及NAT配置同样存在不同之处。①  使用DMZ区域专用**配置连接，先配置网关地址两个方向的NAT信息WANàààDMZ（**所在区域）源地址ANY，目标地址11.11.11.11，源端口ANY,目标端口选择ICMP、UDP500、UDP4500，转换后IP10.10.10.10DMZàààWAN 源地址10.10.10.10，目标地址22.22.22.22，源端口ANY,目标端口选择ICMP、UDP500、UDP4500，转换后IP 11.11.11.11再配置云端子网和本地子网互访的两个方向放行策略WANàààLAN 源地址为172.16.0.0/24，目标地址为10.0.0.0/16，服务为ANY，策略为放行（不配置该网段访问的NAT）LANààà WAN 源地址为10.0.0.0/24，目标地址为172.16.0.0/16，服务为ANY，策略为放行（不配置该网段访问的NAT）②  使用防火墙配置VPN连接不需要配置NAT信息，仅配置子网间的放行策略，还需添加VPN连接建立的放行策略WANààà DMZ（**所在区域） 源地址为ANY，目标地址为11.11.11.2(防火墙出接口地址)，服务为ICMP、UDP500、UDP4500，策略为放行DMZààà WAN 源地址为11.11.11.2，目标地址为ANY，服务为ICMP、UDP500、UDP4500，策略为放行4、配置验证本地子网与云上子网互访正常，详细过程略。

作者 : 华为云VPN服务团队一、拓扑说明如图拓扑所示，本地IDC连接Internet的物理接口为ethernet1/1，其公网IP为133.133.133.2，本地IDC子网网段为192.168.0.0/16，华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为139.139.139.2，现需要通过创建VPN连接来连通本地局域网与华为云的VPC子网。华为云端的VPN连接资源策略配置按照缺省信息配置，详见下图本实例以华为云端VPN配置信息为基础，详细介绍用户侧PaloAlto防火墙设备的VPN配置。二、Palo Alto配置1、配置IKE加密选择顶部页签【网络】>>左侧【网络配置文件】>>【IKE加密】，点击左下角【添加】，在弹出页签中命名该配置文件，如IKE-huawei，并选择与华为云相同的算法，具体配置信息如下图所示；2、配置IKE网关选择顶部页签【网络】>>左侧【网络配置文件】>>【IKE网关】，点击左下角【添加】，在弹出页签中命名该配置文件，如IKE-GW；选择与华为云端一致的版本，如ikeV1；地址类型选择V4，接口选择连接公网接口，地址为本地接口IP，对端设备IP选择静态，对应对端IP为华为云VPN网关IP，选择验证类型为预共享密钥，并输入与华为侧相同的密钥信息，标识信息可不配置，若配置请选择IP地址，详细配置如下图所示；在IKE网关的高级配置中，选择交换模式与华为云侧相同，调用IKE加密配置文件，推荐开启失效对端检测，检测配置缺省即可，详细配置见下图；3、配置IPsec加密选择顶部页签【网络】>>左侧【网络配置文件】>>【IPSec加密】，点击左下角【添加】，在弹出页签中命名该配置文件，如ipsec-huawei，并选择与华为云相同的算法，具体配置信息如下图所示；4、创建隧道接口选择顶部页签【网络】>>左侧【接口】>>【隧道】，点击左下角【添加】，隧道名称系统自动生成，为方便辨识可为改隧道添加注释信息，并同步为隧道接口指定虚拟路由器和安全区域。图示虚拟路由器和安全区域是已经预先完成创建的，详细配置信息如下图所示；5、创建IPSec隧道选择顶部页签【网络】>>左侧【IPSec隧道】，点击左下角【添加】，隧道名称自行设置，如IPSEC，接口选择第四步创建的隧道接口，地址类型选择V4，类型选择自动键，调用之前配置的IKE网关和IPSec加密文件，详细配置如下图所示；完成IPSec常规配置后，单击代理ID，添加感兴趣流配置，指定本地子网和远端子网信息，协议选择任何，详细配置如图所示；6、添加静态路由选择顶部页签【网络】>>左侧【虚拟路由器】>>【静态路由】，点击左下角【添加】，名称自行设置，如huaweiyun；目标网段为华为云VPC子网，接口选择IPSec隧道调用的隧道接口，下一跳选择无，管理距离和跃点数默认即可，详细配置如下图所示；7、配置NAT规则选择顶部页签【策略】>>左侧【NAT】，点击左下角【添加】，常规设置中只配置名称即可，如ipsec-nonat；原始数据包中指定数据源区域、目标区域和源地址段、目标地址段，接口和服务选择any。注意区域选择要与子网实际划入区域匹配，详细配置如下图所示；在转换后的数据包中指定源地址转换类型为None；完成该NAT配置后，请将该策略配置置顶，确保策略生效。8、配置安全策略规则选择顶部页签【策略】>>左侧【安全】，点击左下角【添加】，常规设置中只配置名称即可，如IPSec_to_huaweiyun；指定安全策略的源地址为云下IDC的子网网段指定安全策略的源地址为云上VPC的子网网段设置策略动作为ALLOW完成该安全策略配置后，请将该条策略置顶，确保策略生效。9、配置提交Palo Alto完成配置后，并非立即生效，需要在导航栏右侧进行提交操作，配置提交后修改的配置信息才会生效，提交按钮如下图所示点击提交后，系统会提示是否继续提交，请在提交配置前进行变更信息预览和验证，待验证通过后再进行提交操作。10、验证IPSec配置完成后，可进入【网络】>>左侧【IPSec隧道】来查看已经创建的隧道列表信息，其中状态颜色绿色表示当前连接正在工作，即连接已经active，数据面验证略。

作者 : 华为云VPN服务团队一、拓扑说明如图拓扑所示，本地IDC连接公网IP为133.133.133.2，子网网段为192.168.0.0/24，华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为139.139.139.2，现需要通过创建VPN连接来连通本地局域网与华为云的VPC子网。华为云端的VPN连接资源策略配置按照缺省信息配置，详见下图本实例以华为云端VPN配置信息为基础，详细介绍用户侧山石防火墙设备的VPN配置。二、山石防火墙配置1、配置IPSec VPN选择顶部页签【网络】>>左侧【VPN】>>【IPSecVPN】>【P1提议】。点击新建，自主命名提议，选择提议参数设置与华为云相同，配置如下；选择【P2提议】。点击新建，自主命名提议，选择提议参数设置与华为云相同，配置如下；选择【VPN对端列表】。点击新建，自主命名对端配置，接口选择互联公网口、模式与华为云相同，类型选择静态IP，对端IP填入139.139.139.2，提议1调用已配置的P1提议，预共享密钥与华为云配置相同，配置如下；对端配置的高级配置选择默认即可，类型选择双向。选择【IKE VPN列表】。点击新建，自主命名IKE VPN配置，对端选项调用已配置的对端列表，隧道模式选择tunnel，调用P2提议，代理ID中填入感兴趣流信息，配置如下；IKE VPN高级配置可选择启用自动连接，其它配置默认即可。2、添加静态路由在创建路由前先在接口中创建一个tunnel接口，然后选择左侧【路由】>>【目的路由】，点击新建路由。目标网段为华为云VPC子网，接口选择IPSec隧道调用的隧道接口，下一跳选择接口（tunnel口），网关不填，优先权和路由权值默认，详细配置如下图所示；3、配置NAT规则选择顶部页签【策略】>>左侧【NAT】>>【源NAT】，点击新建，基本设置中配置源地址、目标地址出接口，服务选择any，转换为选择不转换；完成该NAT配置后，请将该策略配置置顶，确保策略生效。4、配置安全策略规则选择顶部页签【策略】>>左侧【安全策略】，点击新建，基本配置中选择源安全域、源IP地址段，目标安全域、目标地址段，服务选择any，操作选择允许；完成该安全策略配置后，请将该条策略置顶，确保策略生效。5、验证IPSec配置完成后，可进入【网络】>>左侧【VPN】>>【IPSec VPN】，选择右侧IPSec VPN 监控来查看已经创建VPN连接状态，数据面验证略。