1 iperf1.1 安装iperf3ECS绑定EIP：yum install -y iperf3linux通用方式：wget https://iperf.fr/download/source/iperf-3.1.3-source.tar.gz tar zxvf iperf-3.1.3-source.tar.gz cd iperf-3.1.3 ./configure make make install1.2 修改内核缓冲区参数操作系统做了如下修改来避免系统的性能问题：echo 16777216 > /proc/sys/net/core/rmem_maxecho 16777216 > /proc/sys/net/core/rmem_defaultecho 16777216 > /proc/sys/net/core/wmem_maxecho 16777216 > /proc/sys/net/core/wmem_default1.3 开启Server端iperf3 -s (-p 20000) -s: 指定为服务端；-p: 指定监听端口,默认端口52011.4 client端打流iperf3 -c x.x.x.x (-p 20000) (-i x) (-t x) (-u) (-b x) (-l x) (-P x)-c: 指定为客户端 后跟目标；-p: 指定连接端口；-i：在控制台间隔多久时间(s)打印一条统计信息-t: 指定连接时间(s);-u: 默认为TCP连接，-u使用UDP连接；-b: 指定带宽-l: 包长x字节，TCP方式默认为8KB，UDP方式默认为1470字节-P: 到服务器的同时连接数(线程数)。默认值为1，带宽300M后需要多线程。-R：以反向模式运行（服务器发送，客户端接收）例如：//TCP方式连接服务端1.1.1.1，持续1000s，每秒打印一条统计信息，带宽为300Miperf3 -c 1.1.1.1 -t 1000 -i 1 -b 300M//UDP方式连接服务端1.1.1.1，持续1000s，每秒打印一条统计信息，带宽为1Giperf3 -c 1.1.1.1 -t 1000 -i 1 -b 1G -u1.5 注意事项1、测试之前确认两端ECS的基准带宽/最大带宽，确保基准带宽大于测试的带宽。2、网络收发包量的测试同时还会受到缓冲区大小的影响，默认的缓冲区比较小的话，会造成实例到达高pps丢包的现象，因此建议在测试前调整下缓冲区大小 2 mtr参考：MTR工具使用说明与结果分析：https://help.aliyun.com/zh/ecs/use-mtr-and-analyze-the-mtr-test-results/MTR命令解析：https://commandnotfound.cn/linux/1/463/mtr-%E5%91%BD%E4%BB%A4第一列（Host）：IP地址和域名，按n键可以切换IP和域名第二列（Loss%）：丢包率第三列（Snt）：设置每秒发送数据包的数量，参数-c可以指定发包数量第四列（Last）：最近一次ping的时延值第五列（Avg）：是平均值 这个应该是发送ping包的平均时延第六列（Best）：是最好或者说时延最短的第七列（Wrst）：是最差或者说时延最常的第八列（StDev）：标准偏差3 ping检测目标连通性3.1 常用参数参考：Linux ping命令：https://www.runoob.com/linux/linux-comm-ping.html-c <完成次数> 设置完成要求回应的次数（发包数）-s<数据包大小> 设置数据包的大小4 ARPINGarping 命令是用于发送 arp 请求到一个相邻主机的工具，arping 使用 arp 数据包，通过 ping 命令检查设备上的硬件地址。能够测试一个 ip 地址是否是在本地网络上已经被使用，并能够获取更多设备信息。参考：arping 命令详解：https://commandnotfound.cn/linux/1/112/arping-%E5%91%BD%E4%BB%A4#查看某个IP的MAC地址arping <destination>5 tracepath/traceroute/tracert主要作用：跟踪路由工具使用系统请求报文tracertWindowsicmp echo报文tracepathLinuxUDP的报文tracerouteLinux默认UDP报文，可参数指定ICMP（-I --icmp）或TCP（-T --tcp）参考：https://commandnotfound.cn/linux/1/335/traceroute-%E5%91%BD%E4%BB%A4tracepath：上个节点到这个节点的时间traceroute结果里的每行的三个时间，是上个节点到这个节点的时间。每一跳都发送3个包

一、什么是公网网关和私网网关创建企业版VPN网关时可以选择网络类型，分为公网和私网，不管是哪种类型的网关，都需要保证两个网关IP之间能正常通信，才能协商建立连接。二、两者的区别公网：VPN网关通过Internet网络和用户数据中心的对端网关进行通信。私网：VPN网关通过私有网络和用户数据中心的对端网关进行通信。三、使用场景公网网关：华为云region间搭建加密连接通道、华为云到客户线下IDC通过公网搭建加密连接通道​私网网关：通过VPN实现专线加密，参考链接：cid:link_0​

一、什么是安全策略USG防火墙产品手册：https://support.huawei.com/hedex/hdx.do?docid=EDOC1100149311&id=ZH-CN_CONCEPT_0178935592二、trust域，untrust域和local域      对于VPN来说，local域可以简单理解为本端网关所在域，trust即为本端内网所在的安全区域，untrust可以理解为对端网关和对端子网所在域；      因此，需要配置四条策略来保证VPN的正常通信 （1）untrust  --》 local  ：在安全策略中配置源区域为untrust，目的区域为local的安全策略，这里的untrust通常是对端公网，local是本端公网（2）local  --》 untrust ： 在安全策略中配置源区域为local，目的区域为untrust的安全策略，这里的untrust通常是对端公网，local是本端公网（3）trust --》untrust：在安全策略中配置源区域为trust，目的区域为untrust的安全策略，出去的业务流，trust是本端子网，untrust是对端子网（4）untrust --》trust：在安全策略中配置源区域为untrust，目的区域为trust的安全策略，进来的业务流，trust是本端子网，untrust是对端子网

作者 : 华为云VPN服务团队一、拓扑说明如下图拓扑所示，华为USG防火墙与H3C SecPath防火墙通过建立IPsec VPN连接，实现两台主机间互访。两台防火墙之间建立IPsec VPN使用的策略配置与华为云缺省策略配置相同，本实例等同于华为云的虚拟专用网络与云下H3C防火墙（或华为USG防火墙）使用IKE Version 2 建立VPN连接的过程(华为云使用IKEv2协商IPSec时，感兴趣流配置请使用明细网段，请勿使用地址组）。华为USG防火墙连接运营商出口的IP为21.1.1.100/24，网关为21.1.1.1；H3C SecPath防火墙连接运营商出口的IP为21.2.2.100/24，网关为21.2.2.1；防火墙分别启用了loopback接口来模拟PC主机，IP地址分别为21.21.21.21/32和22.22.22.22/32。建立IPsec VPN连接的详细策略配置见图示说明。本实例分别指导H3C SecPath防火墙与华为USG防火墙IPsec VPN详细配置。二、H3C SecPath防火墙配置1、基础网络配置interface GigabitEthernet1/0/2.100                     //互联internet接口       vlan-type dot1q 1ip address 21.2.2.100 255.255.255.0security-zone name Untrust       import interface GigabitEthernet1/0/2.100           //将接口划入untrust区域interface LoopBack1000                             //模拟主机IP接口       ip address 22.22.22.22 255.255.255.255object-group ip address local22                   //定义本端地址对象，local22为名称，地址对象用于安全策略配置       security-zone Local                              //声明此地址处于local区域       0 network host address 22.22.22.22object-group ip address remote21                //定义远端地址对象，remote21为名称，地址对象用于安全策略配置       security-zone Untrust                            //声明此地址处于untrust区域       0 network host address 21.21.21.21security-policy ip                               //配置IP访问策略，确认感兴趣流不被NATrule 1 name ipsec100            //放行本地22到远端21的访问          action pass          counting enable          source-zone Local            //客户现场环境多为trust，本配置为Local          destination-zone Untrust          source-ip local22          destination-ip remote21rule 2 name ipsec101            //放行远端21到本地22的访问          action pass          counting enable          source-zone Untrust          destination-zone Local          source-ip remote21          destination-ip local222、IKE 策略配置ikev2 proposal 220 encryption aes-cbc-128 integrity sha256 dh group5 prf sha1dis ikev2 proposal default          //查询ike v2提议的缺省配置IKEv2 proposal : default  Encryption: AES-CBC-128 3DES-CBC  Integrity: SHA1 MD5  PRF: SHA1 MD5  DH Group: MODP1536/Group5 MODP1024/Group2 ikev2 keychain peerv2            //创建IKEv2密钥，并命名为peerv2        peer name2100                 //命名peer名称为name2100，名称本地有效                address 21.1.1.100 255.255.255.255              //配置远端IP                pre-shared-key local plaintext key123           //配置共享密钥                pre-shared-key remote plaintext key123ikev2 profile ikev2100                //创建ikev2版本的profile，并命名为ikev2100        authentication-method local pre-share                     //指定本端认证方式        authentication-method remote pre-share               //指定远端认证方式        keychain peerv2                //调用密钥配置        identity local address 21.2.2.100          //本端地址标识  match local address 21.2.2.100            //本端地址        match remote identity address 21.1.1.100 255.255.255.255       //远端地址标识ikev2 policy ikepolicyv2100       //创建ikev2policy，并命名为ikepolicyv2100        proposal 220                                                   //调用ikev2提议220  match local address 21.2.2.100                 //指定本端地址3、IPsec 策略配置acl advanced 3999         //配置ACL，定义感兴趣流，请务必使用子网+掩码的方式配置感兴趣流      rule 0 permit ip source 22.22.22.22 0 destination 21.21.21.21 0ipsec transform-set ipsec-set         //IPsec Proposal，缺省封装模式为Tunnel       esp encryption-algorithm aes-cbc-128      esp authentication-algorithm sha1pfs dh-group5                        //华为云必须使能PFSipsec policy map-ipsec 100 isakmp     //配置ipsec策略，使用IKE策略建立连接     transform-set ipsec-set         //调用IPsec Propsal     security acl 3999                //调用ACL 3999     local-address 21.2.2.100             //本端地址     remote-address 21.1.1.100          //远端地址     ikev2-profile ikev2100        //调用ike策略配置     sa duration time-based 3600        //配置生命周期4、出接口应用IPsec策略interface GigabitEthernet1/0/2.100             ipsec apply policy map-ipsec5、路由配置ip route-static 21.1.1.0 255.255.255.0 21.2.2.1              //配置远端网关路由，真实客户场景无需此条配置，缺省路由可达ip route-static 21.21.21.21 255.255.255.255 21.2.2.1            //21.2.2.1出接口网关IP6、结果验证ping -a 22.22.22.22 21.21.21.21               //以本端主机为源ping远端主机display ikev2 sa         //每一对子网间建立一条SAipsec验证略，详细信息见与一阶段配置结果相同。三、华为USG防火墙配置★★★华为IKEV1变V2只需修改一条命令即可：在IKE PEER视图下使用命令undo version 1关闭版本1，其它配置不变★★★1、基础网络配置interface GigabitEthernet1/0/7.100             //互联internet接口 vlan-type dot1q 1ip address 21.1.1.100 255.255.255.0firewall zone untrust add interface GigabitEthernet1/0/7.100            //将接口划入untrust区域interface LoopBack2222                      //模拟主机IP接口 ip address 21.21.21.21 255.255.255.255ip address-set local21 type object                //定义本端地址对象，local21为名称，地址对象用于安全策略配置address 0 21.21.21.21 mask 32ip address-set remote22 type object            //定义远端地址对象，remote22为名称，地址对象用于安全策略配置 address 0 22.22.22.22 mask 32security-policy                      //配置IP访问策略，确认感兴趣流不被NATrule name policy-ipsec100                //放行本地21到远端22的访问  policy logging  source-zone local                   //客户现场环境多为trust，本配置为Local  destination-zone untrust  source-address address-set local21  destination-address address-set remote22  action permit rule name policy-ipsec101       //放行远端22到本地21的访问  policy logging  source-zone untrust  destination-zone local  source-address address-set remote22  destination-address address-set local21  action permit2、IKE 策略配置ike proposal 1024                       //配置ike提议，1024为提议编号，华为设备IKE提议不区分版本encryption-algorithm aes-128                     //ikev1、ikev2使用dh group5                                                    //ikev1、ikev2使用authentication-algorithm sha1                    //仅ikev1使用authentication-method pre-share               //ikev1、ikev2使用integrity-algorithm hmac-sha2-256            //仅ikev2使用prf hmac-sha1                                              //仅ikev2使用display ike proposal defaultIKE Proposal: Default   Authentication Method      : PRE_SHARED   Authentication Algorithm     : SHA2-512 SHA2-384 SHA2-256   Encryption Algorithm       : AES-256 AES-192 AES-128   Diffie-Hellman Group       : MODP-2048   SA Duration(Seconds)       : 86400   Integrity Algorithm         : HMAC-SHA2-256   Prf Algorithm             : HMAC-SHA2-256ike peer ike21.2.2.100 undo version 1                 //关闭ikev1 启用V2版本 pre-shared-key key123            //预共享密钥 ike-proposal 1024          //调用ike proposal remote-address 21.2.2.100        //远端地址3、IPsec 策略配置acl number 3999                         //配置ACL，定义感兴趣流，请务必使用子网+掩码的方式配置感兴趣流        rule 5 permit ip source 21.21.21.21 0 destination 22.22.22.22 0ipsec proposal ipsec21.2.2.100                 //配置传输协议及参数，缺省封装模式为tunnel        esp authentication-algorithm sha1        esp encryption-algorithm aes-128ipsec policy ipsec100 100 isakmp          //配置ipsec策略，使用IKE策略建立连接 security acl 3999                      //调用ACL 3999 pfs dh-group5                        //华为云必须使能PFS ike-peer ike21.2.2.100           //调用ike策略配置 proposal ipsec21.2.2.100       //调用IPsec Propsal tunnel local 21.1.1.100        //本端地址4、出接口应用IPsec策略interface GigabitEthernet1/0/7.100 ipsec policy ipsec1005、路由配置ip route-static 21.2.2.0 255.255.255.0 21.1.1.1            //配置远端网关路由，真实客户场景无需此条配置，缺省路由可达ip route-static 22.22.22.22 255.255.255.255 21.1.1.1            //21.1.1.1出接口网关IP6、结果验证ping -a 21.21.21.21 22.22.22.22               //以本端主机为源ping远端主机display ike sa remote 21.2.2.100            //每一对子网间建立一条SAipsec验证略，详细信息见与一阶段配置结果相同。

作者 : 华为云VPN服务团队对接需求：通过在华为云和腾讯云之间建立VPN连接，实现云间的数据传输。一、连接拓扑拓扑说明：    华为云端网络信息：VPN网关11.11.11.11 云端子网：10.10.10.0/24    腾讯云端网络信息：VPN网关22.22.22.22 云端子网：10.20.20.0/24 二、华为云配置①创建VPC，设置网络和子网信息后创建VPN网关和连接。   连接本端网关11.11.11.11，本端子网10.10.10.0/24   连接远端网关22.22.22.22，远端子网10.20.20.0/24   连接策略选用华为云缺省配置②华为云VPN连接缺省策略配置说明  为确保协商信息一致，请在腾讯云创建VPN通道时使用上图协商信息进行配置。三、腾讯云VPN配置登录腾讯云账号，进入云产品的私有网络页面，选择VPN连接，分别进行创建VPN网关、对端网关、VPN通道，然后创建去往华为云VPC子网路由（默认您以及完成了VPC、子网及服务器的创建）。①   创建VPN网关  选择VPN连接下的VPN网关页签，在右侧窗口选择地区后点击新建，输入网关的名称，选择创建网关对应的VPC子网以及带宽和计费方式后进行创建。②   创建对端网关   选择对端网关进行新建，输入对端网关名称的公网IP即可。    ③  创建VPN通道-基本配置   创建VPN通道分为基本配置、SPD配置、IKE配置、IPsec配置四个步骤。如下图为创建VPN通道的基本配置步骤。   在基本配置界面请输入创建通道的名称，选择地域，VPC私有子网，已创建的VPN网关，对端网关（选择②创建的对端网关，也可在此步骤进行新建）和预共享密钥。    ④  创建VPN通道-SPD配置   添加本端子网（腾讯与子网）和远端子网（华为云子网）的信息，多个子网点击新增一行配置。    ⑤  创建VPN通道-IKE配置  请修改IKE策略与华为云IKE策略一致，将不一致信息修改为红色字体内容。  ⑥ 创建VPN通道-IPsec配置  请修改IPsec策略与华为云IPsec策略一致，将不一致信息修改为红色字体内容。  ⑦ 修改子网路由策略  增加去往华为云子网的路由，下一跳类型为VPN网关,下一跳为②创建的VPN网关名称。 ⑧ 确认服务器调用的安全组放行了入放行的ICMP协议。五、验证连接  从华为云ECS服务器ping腾讯云服务器主机IP地址，或从腾讯云服务器主机ping华为云ECS服务器IP，以触发VPN连接的建立。

作者 : 华为云VPN服务团队一、拓扑说明如图拓扑所示，您本地数据中心的出口防火墙选用深信服设备，同时在DMZ区域旁路接入了一台IPsec VPN设备，通过VPN接入华为云网络时，您有两种选择：1、使用防火墙设备直接和云端建立VPN连接；2、使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接；本指南介绍两种VPN接入方式的配置指导，相关信息说明如下：1、本地数据中心VPN设备私网IP 10.10.10.10/24；2、用户需要访问云上VPC的本地子网为10.0.0.0/16；3、NAT出口IP 11.11.11.2/24，公网网关11.11.11.1，VPN设备的NAT IP 11.11.11.11；4、云端VPN网关IP 22.22.22.22，云端子网172.16.0.0/16；现通过创建VPN连接方式来连通本地网络到VPC子网。华为云端的VPN连接资源策略配置按照如下图信息配置，使用DMZ区域专用的VPN设备进行NAT穿越连接时，协商模式修改为野蛮模式；使用防火墙进行连接协商模式选择缺省主模式或野蛮模式。本实例以华为云端VPN配置信息为基础，详细介绍用户侧深信服设备的VPN配置。二、深信服配置1、配置IPsecVPN① IKE一阶段配置选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第一阶段】，确认线路出口（深信服设备会针对该接口自动下发VPN路由信息），选择“新增”第一阶段在弹窗界面配置一阶段基本信息和高级配置项，配置界面如下图所示  基本信息设备名称：自主命名一阶段连接名称，二阶段会调用此设备名称下的相关配置设备地址类型：选择“对端是固定IP”固定IP：云端VPN网关IP，本实例IP为22.22.22.22认证方式：预共享密钥，即PSK，与云端密钥相同勾选启用设备，启用主动连接为可选配置高级配置ISAKMP存活时间：与云端相同86400s支持模式：深信服设备存在NAT穿越场景时推荐选择“野蛮模式”D-H群：与云端一致，选择“MODP1536群（5）”本端/远端身份类型：IP地址，身份ID选择网关IP，NAT场景选择NAT后的IP使用DMZ专用VPN设备选择开启NAT穿越，选择防火墙不开启NAT穿越DPD为必选配置，加密和认证算法与云端一致，华为云DPD格式为seq-hash-notify② IPsec二阶段配置选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【第二阶段】，分别新增“入站策略”和“出站策略”，详细配置见下图所示；入站策略       策略名称：自主命名源IP类型：选择“子网和掩码”子网及掩码：填写流入本地的子网信息，多个子网逐条创建对端设备：调用IKE一阶段配置的对端IP，此处选择一阶段【设备名称】入站服务选择所有，生效时间选择全天，并启用该策略出站策略策略名称：自主命名策略源IP类型：选择“子网和掩码”子网及掩码：填写流出本地的子网信息，多个子网逐条创建对端设备：调用IKE一阶段配置的对端IP，此处选择一阶段【设备名称】SA生存时间：选择和云端一致的3600s出站服务选择所有，生效时间选择全天，并启用该策略密钥完美向前保密：启用，即开启PFS，此时深信服设备的DH group会与IKE阶段group相同二阶段存在多个子网时，每一个出站规则都需要勾选配置“启用密钥完美向前保密”！ ③ 安全选项配置选择【VPN】>>【IPsecVPN】>>【第三方对接】>>【安全选项】，选择“新增”按钮，在弹出页面配置自定义名称，协议选择与云端相同的“ESP”，认证和加密算法也与云端配置相同，详细配置见下图所示2、配置路由选择【网络】>>【路由】>>【静态路由】后进行新增操作（不同类别设备的操作页面存在差异）。①  使用DMZ区域专用网络配置连接VPN设备使用原有缺省路由即可，对应VPN路由在IPsec配置时会自动生成；防火墙添加目标地址为云端子网，下一跳为VPN设备建立VPN连接的私网IP；②  使用防火墙配置VPN连接（该场景下不涉及专用网络配置）防火墙添加目标地址为云端子网，下一跳为出接口的公网IP3、配置策略及NAT选择【网络】>>【地址转换】进行新增操作，配置NAT信息；选择【访问控制】>>【应用控制策略】进行新增操作，配置访问策略。在本实例拓扑中，选择防火墙或DMZ区域专用网络，在策略及NAT配置同样存在不同之处。①  使用DMZ区域专用**配置连接，先配置网关地址两个方向的NAT信息WANàààDMZ（**所在区域）源地址ANY，目标地址11.11.11.11，源端口ANY,目标端口选择ICMP、UDP500、UDP4500，转换后IP10.10.10.10DMZàààWAN 源地址10.10.10.10，目标地址22.22.22.22，源端口ANY,目标端口选择ICMP、UDP500、UDP4500，转换后IP 11.11.11.11再配置云端子网和本地子网互访的两个方向放行策略WANàààLAN 源地址为172.16.0.0/24，目标地址为10.0.0.0/16，服务为ANY，策略为放行（不配置该网段访问的NAT）LANààà WAN 源地址为10.0.0.0/24，目标地址为172.16.0.0/16，服务为ANY，策略为放行（不配置该网段访问的NAT）②  使用防火墙配置VPN连接不需要配置NAT信息，仅配置子网间的放行策略，还需添加VPN连接建立的放行策略WANààà DMZ（**所在区域） 源地址为ANY，目标地址为11.11.11.2(防火墙出接口地址)，服务为ICMP、UDP500、UDP4500，策略为放行DMZààà WAN 源地址为11.11.11.2，目标地址为ANY，服务为ICMP、UDP500、UDP4500，策略为放行4、配置验证本地子网与云上子网互访正常，详细过程略。

作者 : 华为云VPN服务团队一、拓扑说明如图拓扑所示，本地IDC连接Internet的物理接口为ethernet1/1，其公网IP为133.133.133.2，本地IDC子网网段为192.168.0.0/16，华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为139.139.139.2，现需要通过创建VPN连接来连通本地局域网与华为云的VPC子网。华为云端的VPN连接资源策略配置按照缺省信息配置，详见下图本实例以华为云端VPN配置信息为基础，详细介绍用户侧PaloAlto防火墙设备的VPN配置。二、Palo Alto配置1、配置IKE加密选择顶部页签【网络】>>左侧【网络配置文件】>>【IKE加密】，点击左下角【添加】，在弹出页签中命名该配置文件，如IKE-huawei，并选择与华为云相同的算法，具体配置信息如下图所示；2、配置IKE网关选择顶部页签【网络】>>左侧【网络配置文件】>>【IKE网关】，点击左下角【添加】，在弹出页签中命名该配置文件，如IKE-GW；选择与华为云端一致的版本，如ikeV1；地址类型选择V4，接口选择连接公网接口，地址为本地接口IP，对端设备IP选择静态，对应对端IP为华为云VPN网关IP，选择验证类型为预共享密钥，并输入与华为侧相同的密钥信息，标识信息可不配置，若配置请选择IP地址，详细配置如下图所示；在IKE网关的高级配置中，选择交换模式与华为云侧相同，调用IKE加密配置文件，推荐开启失效对端检测，检测配置缺省即可，详细配置见下图；3、配置IPsec加密选择顶部页签【网络】>>左侧【网络配置文件】>>【IPSec加密】，点击左下角【添加】，在弹出页签中命名该配置文件，如ipsec-huawei，并选择与华为云相同的算法，具体配置信息如下图所示；4、创建隧道接口选择顶部页签【网络】>>左侧【接口】>>【隧道】，点击左下角【添加】，隧道名称系统自动生成，为方便辨识可为改隧道添加注释信息，并同步为隧道接口指定虚拟路由器和安全区域。图示虚拟路由器和安全区域是已经预先完成创建的，详细配置信息如下图所示；5、创建IPSec隧道选择顶部页签【网络】>>左侧【IPSec隧道】，点击左下角【添加】，隧道名称自行设置，如IPSEC，接口选择第四步创建的隧道接口，地址类型选择V4，类型选择自动键，调用之前配置的IKE网关和IPSec加密文件，详细配置如下图所示；完成IPSec常规配置后，单击代理ID，添加感兴趣流配置，指定本地子网和远端子网信息，协议选择任何，详细配置如图所示；6、添加静态路由选择顶部页签【网络】>>左侧【虚拟路由器】>>【静态路由】，点击左下角【添加】，名称自行设置，如huaweiyun；目标网段为华为云VPC子网，接口选择IPSec隧道调用的隧道接口，下一跳选择无，管理距离和跃点数默认即可，详细配置如下图所示；7、配置NAT规则选择顶部页签【策略】>>左侧【NAT】，点击左下角【添加】，常规设置中只配置名称即可，如ipsec-nonat；原始数据包中指定数据源区域、目标区域和源地址段、目标地址段，接口和服务选择any。注意区域选择要与子网实际划入区域匹配，详细配置如下图所示；在转换后的数据包中指定源地址转换类型为None；完成该NAT配置后，请将该策略配置置顶，确保策略生效。8、配置安全策略规则选择顶部页签【策略】>>左侧【安全】，点击左下角【添加】，常规设置中只配置名称即可，如IPSec_to_huaweiyun；指定安全策略的源地址为云下IDC的子网网段指定安全策略的源地址为云上VPC的子网网段设置策略动作为ALLOW完成该安全策略配置后，请将该条策略置顶，确保策略生效。9、配置提交Palo Alto完成配置后，并非立即生效，需要在导航栏右侧进行提交操作，配置提交后修改的配置信息才会生效，提交按钮如下图所示点击提交后，系统会提示是否继续提交，请在提交配置前进行变更信息预览和验证，待验证通过后再进行提交操作。10、验证IPSec配置完成后，可进入【网络】>>左侧【IPSec隧道】来查看已经创建的隧道列表信息，其中状态颜色绿色表示当前连接正在工作，即连接已经active，数据面验证略。

作者 : 华为云VPN服务团队一、拓扑说明如图拓扑所示，本地IDC连接公网IP为133.133.133.2，子网网段为192.168.0.0/24，华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为139.139.139.2，现需要通过创建VPN连接来连通本地局域网与华为云的VPC子网。华为云端的VPN连接资源策略配置按照缺省信息配置，详见下图本实例以华为云端VPN配置信息为基础，详细介绍用户侧山石防火墙设备的VPN配置。二、山石防火墙配置1、配置IPSec VPN选择顶部页签【网络】>>左侧【VPN】>>【IPSecVPN】>【P1提议】。点击新建，自主命名提议，选择提议参数设置与华为云相同，配置如下；选择【P2提议】。点击新建，自主命名提议，选择提议参数设置与华为云相同，配置如下；选择【VPN对端列表】。点击新建，自主命名对端配置，接口选择互联公网口、模式与华为云相同，类型选择静态IP，对端IP填入139.139.139.2，提议1调用已配置的P1提议，预共享密钥与华为云配置相同，配置如下；对端配置的高级配置选择默认即可，类型选择双向。选择【IKE VPN列表】。点击新建，自主命名IKE VPN配置，对端选项调用已配置的对端列表，隧道模式选择tunnel，调用P2提议，代理ID中填入感兴趣流信息，配置如下；IKE VPN高级配置可选择启用自动连接，其它配置默认即可。2、添加静态路由在创建路由前先在接口中创建一个tunnel接口，然后选择左侧【路由】>>【目的路由】，点击新建路由。目标网段为华为云VPC子网，接口选择IPSec隧道调用的隧道接口，下一跳选择接口（tunnel口），网关不填，优先权和路由权值默认，详细配置如下图所示；3、配置NAT规则选择顶部页签【策略】>>左侧【NAT】>>【源NAT】，点击新建，基本设置中配置源地址、目标地址出接口，服务选择any，转换为选择不转换；完成该NAT配置后，请将该策略配置置顶，确保策略生效。4、配置安全策略规则选择顶部页签【策略】>>左侧【安全策略】，点击新建，基本配置中选择源安全域、源IP地址段，目标安全域、目标地址段，服务选择any，操作选择允许；完成该安全策略配置后，请将该条策略置顶，确保策略生效。5、验证IPSec配置完成后，可进入【网络】>>左侧【VPN】>>【IPSec VPN】，选择右侧IPSec VPN 监控来查看已经创建VPN连接状态，数据面验证略。

作者 : 华为云VPN服务团队拓扑说明：客户希望通过在华为云和AWS之间建立VPN连接，实现云间的数据传输华为云端网络信息：VPN网关117.117.117.117 云端子网：192.168.3.0/24AWS云端网络信息：虚拟专用网关：52.52.52.52 云端子网：10.10.0.0/24一、连接拓扑拓扑说明：客户希望通过在华为云和AWS之间建立VPN连接，实现云间的数据传输华为云端网络信息：VPN网关117.117.117.117 云端子网：192.168.3.0/24AWS云端网络信息：虚拟专用网关：52.52.52.52 云端子网：10.10.0.0/24二、华为云配置①购买VPC，设置网络和子网信息；备注：本实例中假设华为云自动分配的网关IP为117.117.117.117②华为云VPN连接缺省策略配置说明鉴于AWS云端的VPN资源策略配置用户无法修改，请配合调整华为云的VPN资源策略配置信息，确保两个云端的协商信息一致；三、AWS VPN配置AWS云端配置与华为云有些许差异，配置步骤可参考下图①创建客户网关：即指定华为云端的VPN网关指定客户网关IP地址为117.117.117.117②创建VPC，因本实例使用已有VPC上创建VPN连接，本步骤可略过或查看VPC资源本步骤也可确认VPC子网：10.10.0.0/24③创建子网，因本实例使用已有VPC本端子网，本步骤可略过或查看子网信息④创建虚拟专用网关，完成网关创建后AWS创建网关后，并不显示网关的IP信息，网关IP需要在VPN连接的隧道信息中查询，详见第⑤步；⑤创建VPN连接，匹配已创建的客户网关ID、虚拟专用网关以及其它信息注意：AWS新增网络CIDR配置后，对接华为云VPN（策略模式）请保持缺省配置不变，请勿修改CIDR值，否则会出现协商流不匹配报错！！！⑥查看VPN连接，选择AWS端VPN连接的网关IP，作为华为云侧VPN连接的远端网关IP⑦同页面中，选择静态路由查看VPN连接的路由信息⑧创建子网路由，AWS并不自动下发去往远端子网的路由表，需要手动添加远端子网路由⑨安全组配置-in方向，放行来自华为云子网192.168.3.0/24的所有报文，放行用来VPN连接协商的ESP和UDP4500、500端口安全组配置-out方向，放行去往华为云子网192.168.3.0/24的所有报文，放行用来VPN连接协商的ESP和UDP4500、500端口四、两端策略匹配①下载AWS的VPN策略，以选择H3C配置脚本为例，说明与华为云缺省策略的不同之处AWS的VPN资源策略配置是不可修改，请调整华为云配置，确保两侧配置信息一致，②修改华为云侧策略与AWS配置匹配备注：配置完成建立连接时，请选择从华为云侧向AWS发起数据触发VPN连接建立。五、验证连接华为云端子网和AWS端子网可进行数据互访，验证信息略！

作者 : 华为云VPN服务团队一、连接组网说明拓扑说明：通过在华为云和阿里云之间建立VPN连接，实现云间的数据传输。华为云VPC信息：VPN网关139.139.139.2 云端子网：192.168.10.0/24，192.168.20.0/24阿里云VPC信息：VPN网关39.39.39.2 云端子网：172.16.10.0/24，172.16.20.0/24对接策略：二、阿里云VPN配置登录阿里云账号，进入控制台后选择产品与服务中的专有网络VPC页面，按顺序分别创建专有网络、交换机、VPN等服务，然后创建ECS实例，验证与华为云数据面的连通性。1、创建专有网络选择专有网络，在右侧页签中点击创建专有网络，输入VPC名称并选择网段，同时创建交换机（即子网网段），本次对接须创建172.16.10.0/24和172.16.20.0/24两个交换机。创建过程如下图所示。2、创建VPN①、创建VPN网关选择VPN，在右侧页签中点击创建VPN网关，如下图所示。在弹出VPN网关创建页面中输入名称、选择地域、VPC（即已创建的专有网络）、带宽规格，并明确功能配置和计费周期，右侧会实时显示配置信息和应付的费用信息。本对接实例名称为ali-ipsec，地域选择北京，带宽选择5M，功能配置仅开启IPsec-VPN，购买时长选择一个月，然后点击立即购买，系统会自动跳转至付费页面，付费完成后VPN网关创建成功。②创建用户网关选择VPN下的用户网关，在右侧点击创建用户网关，在最右侧的弹出页签自主命名网关名称，输入华为云侧的VPN网关IP为139.139.139.2后点击确定，配置过程如下图所示。③创建IPsec连接选择VPN下的IPsec连接，在右侧点击创建IPsec连接，在最右侧的弹出页签自主命名连接名称，如TO-HW；选择VPN网关（本端网关）为第①步创建的ali-ipsec；用户网关选择为第②步创建的用户网关（远端网关）华为云；本端网段现在第一个交换机子网，远端子网选择第一个远端子网；选择配置立即生效；配置过程如下图所示。打开高级配置，修改高级配置（即VPN连接的协商策略）与预设配置信息一致，配置过程如下图所示。特殊配置说明：阿里云与华为云对接时，若两端的子网数为1对1的情况，完成上面配置即完成了IPsec VPN的连接配置。若两端子网为多对多的情况，在华为云侧建立一个IPsec连接即可，本端子网和远端子网按照实际配置，本对接实例中，华为云IPsec连接配置的本端子网为192.168.10.0/24和192.168.20.0/24，远端子网为172.16.10.0/24和172.16.20.0/24。阿里云需要创建4条连接，每条连接的本端子网和远端子网分别为172.16.10.0/24与192.168.10.0/24、172.16.10.0/24与192.168.20.0/24、172.16.20.0/24与192.168.10.0/24、172.16.20.0/24与192.168.20.0/24。华为云VPN连接配置截图如下图所示阿里云IPsec连接配置截图如下图所示3、添加目的路由完成VPN连接创建后，系统会自动弹出 “IPsec连接创建成功，是否去VPN网关中发布路由？”点击确定自动跳转，点击取消继续创建IPsec连接。若点击取消后，添加VPN网关路由请点击“VPN网关”，在VPN网关列表中选中需要添加路由的网关实例ID并单击，在跳转的新界面点击添加路由条目，逐步设置目标网段为192.168.10.0/24，下一跳类型为IPsec连接，下一跳为TO-HW连接对应的网关ID，发布到VPC和权重按照缺省配置。添加第二个网段的路由条目请重复以上步骤，配置截图见下图。完成路由条目添加后列表信息显示如下图所示。至此阿里云IPsec VPN配置完成，阿里云连接会自动向华为云发起连接协商，验证数据的连通性需要在专有网络中创建ECS实例。三、验证VPN连接数据通信在数据面测试之前，请确认华为云和阿里云ECS所属安全组入方向均放通的ICMP报文。此实例分别从华为云192.168.10.10 ECS ping阿里云ECS 172.16.10.33和172.16.20.33，192.168.20.20 ECS ping阿里云ECS 172.16.10.33和172.16.20.33；或从阿里云ECS 172.16.10.33 ping华为云ECS 192.168.10.10和192.168.20.20,172.16.20.33 ping华为云ECS 192.168.10.10和192.168.20.20；均可以正常通信。测试截图略。

作者 : 华为云VPN服务团队一、拓扑说明如图拓扑所示，您本地数据中心存在多个互联网出口，当前指定11.11.11.11的物理接口和华为云的VPC建立VPN连接，本地子网网段为10.10.0.0/16，华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为22.22.22.22，现通过创建VPN连接方式来连通本地网络到VPC子网。华为云端的VPN连接资源策略配置按照缺省信息配置，详见下图本实例以华为云端VPN配置信息为基础，详细介绍用户侧飞塔防火墙设备的VPN配置。二、配置1、配置IPsecVPN①创建隧道选择【虚拟专网】>>【隧道】，为隧道命名，如ipsec，选择自定义VPN隧道进行创建。② 配置隧道基本信息按照云端网关IP配置网关IP地址为22.22.22.22，选择接口为连接VPN的数据流出接口，即本端11.11.11.11接口，版本选择1，mode选择主模式；③ 配置IKE一阶段选择一阶段的加密和认证算法与云端相同，删除多余配置信息，Diffe-Hellman组选择5，XAUTH选择禁用；④配置IPsec二阶段按照实际情况配置选择本地地址（本端子网10.10.0.0/16）和remote-address（远端子网172.16.0.0/24），选择“√”确认，二阶段策略配置信息同样须与云端信息一致。VPN隧道创建完成后会在物理接口port下自动生成一个VPN隧道接口；⑤完成IPsec隧道配置2、配置路由①添加静态路由添加去往云端VPC子网的出口路由，出接口为VPN接口，下一跳网关为出接口的网关。②配置多出口策略路由配置源地址为本地子网，目标地址为云端VPC的子网的策略路由，请调整策略路由的配置顺序，确保该策略路由优先调用。3、配置策略及NAT①本地访问云端策略流入接口选择trust，流出接口选择创建隧道生成的接口，源地址10.10.0.0/16，目的地址172.16.0.0/24，动作为允许访问，服务选择all，不开启NAT。②云端访问本地策略流入接口选择创建隧道生成的接口，流出接口选择trust，源地址172.16.0.0/24，目的地址10.10.0.0/16，动作为允许访问，服务选择all(也可过滤掉高危端口)，不开启NAT。4、配置验证①本地VPN状态正常选择【虚拟专网】>>【监视器】>>【IPsec监视器】，查看当前VPN配置状态正常②云端VPN状态正常5、特殊报错信息VPN配置完成后，发现VPN的状态无法正常建立连接，通过查看【日志与报告】>>【事件日志】>>【VPN】发现VPN的协商一阶段已建立连接，在二阶段会出现ESP-error，导致VPN连接失败，查询两端二阶段的高级加密认证配置，发现无错误配置，最终将IPsec二阶段的协议修改为指定值51，即ESP的协议号，两端连接创建正常。

Openswan/Strongswan对接华为云VPN配置指南作者 : 华为云VPN服务团队原贴地址：https://bbs.huaweicloud.com/forum/thread-17209-1-1.html文档中底色绿色代表命令，底色灰色代码命令显示信息，底色黄色为配置关注点一、拓扑说明本场景连接拓扑如下图所示，云端两个VPC。其中一个VPC购买VPN网关，另一个VPC购买ECS、 EIP并安装IPsec软件客户端，两个VPC间建立VPN连接。VPC1的VPN网关IP：11.11.11.11，本地子网192.168.200.0/24；VPC2的EIP为22.22.22.22，本地子网为192.168.222.0/24两端VPC中的ECS分别为192.168.200.200和192.168.222.222VPC1侧建立VPN连接资源策略采用华为云缺省配置信息，详见下图本实例以VPC1侧VPN配置信息为基础，详细介绍Linux中openswan与strongswan两种IPsec客户端VPN配置。二、配置步骤1、安装IPsecVPN客户端① 安装openswanyum install openswan安装交互过程选择“Y”，出现“Complete!”提示即完成安装，openswan的配置文件放置在/etc目录中，为方便调试，建议在/etc/ipsec.d目录下创建新的conf和secrets文件。② 安装strongswanyum install strongswan安装交互过程选择“Y”，出现“Complete!”提示即完成安装，strongswan的配置文件集中放置在/etc/strongswan目录中，配置过程只需编辑ipsec.conf和ipsec.secrets文件即可。2、开启IPv4转发vim /etc/sysctl.confnet.ipv4.ip_forward = 1        //编辑增加内容/sbin/sysctl –p                    //执行命令，生效转发配置命令3、iptables配置确认关闭firewall或允许数据流转发，查询命令iptables –Liptables -LChain INPUT (policy ACCEPT)target     prot opt source               destinationChain FORWARD (policy ACCEPT)target     prot opt source               destinationChain OUTPUT (policy ACCEPT)target     prot opt source               destination4、预共享密钥配置①openswanvim /etc/ipsec.d/open_ipsec.secrets              //创建并编辑open_ipsec.secrets文件22.22.22.22 11.11.11.11 : psk "ipsec-key"格式【本地用于连接的IP+空格+远端网关IP+空格+英文冒号+空格+PSK+预共享密钥】注意：冒号的两边都有空格，PSK大小写均可，密钥用英文双引号。② 安装strongswanvim /etc/strongswan/ipsec.secrets          //编辑ipsec.secrets文件22.22.22.22 11.11.11.11 : PSK "ipsec-key"格式与openswan相同，冒号的两边都有空格，PSK只能为大写，密钥用英文双引号。5、ipsec连接配置①openswanvim /etc/ipsec.d/open_ipsec.conf          //创建并编辑open_ipsec.conf文件conn openswan_ipsec                                 //定义连接名称为openswan_ipsecauthby=secret                                     //定义认证方式为PSKauto=start                                          //可选择add、route和startikev2=never                                       //关闭IKEv2版本ike=aes128-sha1;modp1536                 //按照对端配置定义ike阶段算法和groupkeyexchange=ike                                // ike密钥交换方式ikelifetime=86400s                             // ike阶段生命周期phase2=esp                                        //二阶段传输格式phase2alg=aes128-sha1;modp1536 //按照对端配置定义ipsec阶段算法和groupcompress=no                                      //关闭压缩pfs=yes                                             //开启PFSsalifetime=3600s                                //二阶段生命周期type=tunnel                                       //开启隧道模式left=192.168.222.222                         //本地IP，nat场景选择真实的主机地址leftid=22.22.22.22                              //本地标识IDleftsourceip=22.22.22.22                     //存在nat源地址选择nat后IPleftsubnet=192.168.222.0/24               //本地子网leftnexthop=22.22.22.1                       //nat场景下一跳选择nat后的网关IPright=11.11.11.11                              //远端VPN网关IPrightid=11.11.11.11                                   //远端标识IDrightsourceip=11.11.11.11                   //远端源地址选择VPN网关IPrightsubnet=192.168.200.0/24             //远端子网rightnexthop=%defaultroute                //远端路由按缺省配置② 安装strongswanvim /etc/strongswan / ipsec.conf           //编辑ipsec.conf文件config setupconn strong_ipsec                               //定义连接名称为strong_ipsecauto=route                                         //可选择add、route和starttype=tunnel                                       //开启隧道模式compress=no                                      //关闭压缩leftauth=psk                                       //定义本地认证方式为PSKrightauth=psk                                     //定义远端认证方式为PSKikelifetime=86400s                             // ike阶段生命周期lifetime=3600s                                   //二阶段生命周期keyexchange=ikev1                     // ike密钥交换方式为版本1ike=aes128-sha1-modp1536!               //按照对端配置定义ike阶段算法和groupesp=aes128-sha1-modp1536!              //按照对端配置定义ipsec阶段算法和groupleftid=22.22.22.22                                   //本端标识IDleft=192.168.222.222                         //本地IP，nat场景选择真实的主机地址leftsubnet=192.168.222.0/24               //本地子网rightid=11.11.11.11                      //远端标识IDright=11.11.11.11                         //远端VPN网关IPrightsubnet=192.168.200.0/24             //远端子网请特别关注conf中标记为黄色的配置项，配置完成后openswan可通过命令进行配置项校验，strongswan实在开启服务时进行校验。Openswan校验命令为ipsec verify，回显信息需要全部为OK。ipsec verify若回显信息出现如下报错：Checking rp_filter                                  [ENABLED] /proc/sys/net/ipv4/conf/default/rp_filter          [ENABLED] /proc/sys/net/ipv4/conf/lo/rp_filter               [ENABLED] /proc/sys/net/ipv4/conf/eth0/rp_filter             [ENABLED] /proc/sys/net/ipv4/conf/eth1/rp_filter             [ENABLED] /proc/sys/net/ipv4/conf/ip_vti01/rp_filter             [ENABLED]通过如下命令解决echo 0 > /proc/sys/net/ipv4/conf/all/rp_filterecho 0 > /proc/sys/net/ipv4/conf/default/rp_filterecho 0 > /proc/sys/net/ipv4/conf/eth0/rp_filterecho 0 > /proc/sys/net/ipv4/conf/eth1/rp_filterecho 0 > /proc/sys/net/ipv4/conf/lo/rp_filterecho 0 > /proc/sys/net/ipv4/conf/ip_vti01/rp_filter6、启动服务①openswanservice ipsec stop                 //关闭服务service ipsec start                 //启动服务service ipsec restart              //重启服务openswan auto –down openswan_ipsec        //关闭连接openswan auto –up openswan_ipsec             //开启连接② strongswanservice strongswan stop                //关闭服务service strongswan start                //启动服务service strongswan restart             //重启服务strongswan down strong_ipsec                    //关闭连接strongswan up strong_ipsec                        //开启连接注意：每次修改配置都需要重启服务，并重新开启连接。7、结果验证①Openswan通过查询ipsec的状态，结果显示如下信息（摘录），查询状态命令ipsec --status②Strongswan通过strongswan statusall查询，可见连接启动时间通过VPC2安装有IPsec客户端的linux操作系统pingVPC1的主机。ping 192.168.222.222PING 192.168.222.222 (192.168.222.222) 56(84) bytes of data.64 bytes from 192.168.222.222: icmp_seq=1 ttl=62 time=3.07 ms64 bytes from 192.168.222.222: icmp_seq=2 ttl=62 time=3.06 ms64 bytes from 192.168.222.222: icmp_seq=3 ttl=62 time=3.98 ms64 bytes from 192.168.222.222: icmp_seq=4 ttl=62 time=3.04 ms64 bytes from 192.168.222.222: icmp_seq=5 ttl=62 time=3.11 ms64 bytes from 192.168.222.222: icmp_seq=6 ttl=62 time=3.71 ms

作者 : 华为云VPN服务团队零、注意事项1、建议使用ikeV2模式对接。Azure VPN在IKEv1时不支持IPSec/IKE参数配置，仅能使用默认参数。其中PFS默认是None，与华为VPN不支持互通。2、建议两端标识都使用IP。Azure云VPN侧，IP/FQDN在创建本地网关时指定且配置后不能修改。Azure侧的FQDN需要真正的域名支持。一、创建VPC和网关1.1 华为侧创建本端网关绑定VPC，设置VPC网段和子网1.2 Azure侧创建VPC和子网Azure云控制台，新建VPC，注意是虚拟网络，不是虚拟网络（经典）。并创建子网，其中GatewaySubnet是创建VPN的时候自动生成的，并且该子网名字是预留的。二、华为云VPN静态路由模式对接Azure VPN静态路由模式2.1 组网与Azure对接双活模式，组网图如下Azure VPN高可用方案参考：https://docs.microsoft.com/zh-cn/azure/vpn-gateway/vpn-gateway-highlyavailable2.2 IPsec配置IKE配置加密算法AES-128认证算法SHA2-256DH算法DH group 14版本Ikev2生命周期（秒）28800本/对端标识IP Address | 本对端网关IPIPsec配置加密算法AES-128认证算法SHA2-256PFSDH group 14传输协议ESP生命周期（秒）3600报文封装模式TUNNEL2.3 Azure创建虚拟网络网关和连接 Azure VPN设备默认IPsec/IKE参数参考：https://docs.microsoft.com/zh-cn/azure/vpn-gateway/vpn-gateway-about-vpn-devices2.3.1、创建虚拟网络网关进入所有服务-网络-虚拟网络网关，创建网关，注意根据需要选择SKU规格（涉及到IKEv1/v2的支持、连接模式和数量、带宽吞吐量、区域冗余等）参数取值参数取值网关类型VPNVPN类型基于路由的SKUVpnGw1生成Generation1虚拟网络选择创建的VPC子网自动生成，无需填写公网IP地址类型Basic公共IP地址新建公共IP地址名称自定义填写即可启用主动-主动模式已禁用配置BGP已禁用2.3.2、Azure创建本地网络网关（即客户网关）所有服务-网络-本地网络网关，进入界面创建本地网络网关。创建2个本地网络网关，终结点选择IP地址，IP地址为华为VPN的主备EIP，地址空间为华为云VPC的子网网段，BGP设置为否。2.3.3 Azure创建站点到站点路由模式的VPN连接进入VPN网关中的连接页面，添加VPN连接，连接类型选择站点到站点（IPsec），本地网络网关选择上一节创建的客户网关，输入共享密钥，协议选择IKEv2。连接创建后，进入连接，配置修改IKEv2的协商参数，需要与华为云VPN连接参数一致。2.4 Huawei侧创建对端网关和连接创建对端网关，IP为Azure VPN对应的一个公网IP地址华为云VPN通过主备EIP与Azure VPN的1个EIP创建2个连接。本次测试静态路由的基本互通，创建连接1即可，测试主备切换时需要创建连接2。其中IKE配置生命周期需配置为28800（Azure VPN连接无法配置此参数默认为28800）注意NQA探测不勾选，这样不需要手动配置两端的接口地址互为镜像。2.5 连接状态检查Huawei侧VPN连接状态Azure侧VPN连接状态2.6 流量检查华为云创建ECS；Azure云创建用于测试联通性用的虚拟机。分别加入VPC的子网。检查华为云侧ECS和Azure云侧虚拟机的VPC连通性从Azure云侧虚拟机 ping 华为云侧ECS从华为云侧ECS ping Azure云侧虚拟机

私网NAT网关可以实现VPC内云主机访问数据中心，VPN同样也可以实现，这两者有什么区别呢？什么情况下选择私网NAT网关，什么情况下选择VPN呢？私网NAT网关访问数据中心为什么需要一个中转子网IP地址池？劳烦有懂的大神不吝赐教

作者 : 华为云VPN服务团队一、注意事项1.1、对接模式建议企业版对接CheckPoint建议华为云使用静态路由模式，云下使用“每对网关一个VPN通道”，ike采用IKEv21.2、华为VPN与CheckPoint互通，不能配置连接的健康检查CheckPoint固有特性，在与对端公网IP建立IPsec VPN连接后，要求两者之间的所有报文都加密传输。华为VPN连接的健康检查通过Ping来检测两端公网之间的连通性，NQA发起的ICMP探测为非加密报文，在CheckPoint端会被Drop。二、华为云创建网关和连接​2.1、创建网关配置网络类型：公网互联子网：VPC为VPN网关预留的网段，创建网关时会从互联子网中随机选取四个ip，用于VPC与VPN网关互通，其他ip可以正常业务使用本端子网：需要与线下打通的网段，会根据本端子网生成网关到VPC的路由HA模式：双活2.2、创建连接配置三、checkpoint侧配置3.1、创建网络：为华为VPC及子网，CheckPoint VPC及子网，创建对应的网络。3.2、创建网络组domain，并添加VPC网段点击“新建 > 更多 > 网络对象 > 组 > 网络分组”，将网段信息加入对应的网络分组，此处需要新建两个分组，一个填入华为侧的网段信息，一个填入checkpoint侧侧网段信息名称成员值hwvpn-domainVPC-hw-subnet192.168.0.0/16checkpointvpn-domainVPC-checkpoint-subnet10.0.0.0/163.2.1 添加checkpoint侧子网的网络组domain 3.2.2 添加华为侧子网的网络组domain3.3、 互操作对象配置（此步骤只有策略模式需要添加，路由模式跳过3.3）点击“新建 > 更多 > 网络对象 > 更多 > 可互操作设备”，新增互操作对象，成员为华为侧网关的公网ip，如果配置双活连接，则华为侧两个ip都需要加入名称成员网络分组说明hwvpn-activeIP-01华为侧网关IP-1hwvpn-domain华为侧网关IP-2hwvpn-activeIP-02华为侧网关IP-2hwvpn-domain华为侧网关IP-2针对华为VPN的主EIP添加加入刚刚创建的华为侧子网的网络组domain如果要配置双连接，则将华为侧的备eip也同样操作3.4、 配置CheckPoint Gateway属性3.4.1 Gateway加入Domain    a）左侧菜单选择“网关与服务器”，选择“checkpoint-gateway”网络对象进行编辑。    b）选择“Network Managment > VPN Domain”，配置“User defined”为“checkpointvpn-domain”。    c）选择“IPsec VPN > Link Selection”，配置“Always use this IP address”如果网关只有1个External接口，单连接场景可修改为Statically NATed IP为Gateway的弹性IP，配置“When initiating a tunnel”为“operating system routing table”。双连接场景必须选择Main address，否则流量无法切换，并配置“When initiating a tunnel”为“Route based probing”。checkpoint官方文档3.4.2 开启NAT-T配置d）选择“IPsec VPN > VPN Advanced”，勾选“Support NAT traversal ”e）单击左上角图标，选择“全局属性”。f）选择“VPN > Advanced”，勾选“Enable load distributed for Muliple Entry Points configurations (Site To Site connections)”和“Enable VPN Directional Match in VPN Column”3.4.2 配置安全访问策略左侧菜单选择“安全策略”，选择“访问控制 > 策略”，单击“在上方添加规则”。配置安全策略。区域参数取值说明策略配置名称IPsecVPN01源选择网络分组hwvpn-domain、checkpointvpn-domain。目的选择网络分组checkpointvpn-domain、hwvpn-domain，与源互为镜像。VPNAny服务和应用程序Any动作Accept安装于Policy Targets安全策略配置按成后，单击上方菜单栏“安装策略”使安全策略生效。3.5、配置VPN连接3.5.1 创建VPN社区左侧菜单选择“网关与服务器”，单击“新建 > 更多 > VPN社区”。进入CheckPoint VPC路由配置界面，增加到华为侧VPC网段的路由，下一跳为Gateway ecs的eth1私网地址如果防火墙侧是Mesh组网，请选择“新建网状社区”；如果防火墙侧是Star组网，请选择“新建星状社区”。3.5.2 网状和星状社区的区别网状组网是没有主次的，任意两个站点都可以建立连接，星状组网是有一个中心网关的，其他的站点只能跟中心网关建连接如果客户只是打通华为云到checkpoint的点到点连接，则选择星状还是网状都可以。添加参与的网关：华为侧的两个IP的网关和checkpoint侧的网关 加密方法：勾选仅限IKEv23.5.3 使用mesh网状社区创建连接配置配置信息社区配置项参数参数取值网状网关参与的网关checkpoint-gatewayhwvpn-activeIP-01hwvpn-activeIP-02加密加密方法勾选“仅限IKEv2”加密套件勾选“自定义加密套件”，参数如下：IKE安全性关联（阶段1）加密算法：AES128数据完整性：SHA2-256Diffie-Hellman群组：群组14IKE安全性关联（阶段2）加密算法：AES128数据完整性：SHA2-256Diffie-Hellman群组：群组14隧道管理永久隧道勾选“永久性隧道>在社区内的所有通道上”VPN通道共享勾选“每对网关一个VPN通道”共享机密共享机密勾选“对于所有外部成员只使用共享机密”添加互操作对象“hwvpn-activeIP-01”、“hwvpn-activeIP-02”至成员列表，“Shared Secret”设置为“Test@123”。创建Mesh组网的VPN Community，与华为云VPN的静态路由模式对接时VPN通道共享必须选择：每对网关一个VPN通道。共享机密勾选“对于所有外部成员只使用共享机密”添加互操作对象“hwvpn-activeIP-01”、“hwvpn-activeIP-02”至成员列表，“Shared Secret”设置为“********”。3.5.4 使用star网状社区创建连接配置星状网关中心网关checkpoint-gateway分支网关hwvpn-activeIP-01hwvpn-activeIP-02加密加密方法勾选“仅限IKEv2”加密套件勾选“自定义加密套件”，参数如下：IKE安全性关联（阶段1）加密算法：AES128数据完整性：SHA2-256Diffie-Hellman群组：群组14IKE安全性关联（阶段2）加密算法：AES128数据完整性：SHA2-256Diffie-Hellman群组：群组14隧道管理永久隧道勾选“永久性隧道>在社区内的所有通道上”VPN通道共享勾选“每对网关一个VPN通道”VPN路由VPN路由勾选“仅到中心”MEPMEP勾选“选择离源最近的网关（第一个响应）”共享机密共享机密勾选“对于所有外部成员只使用共享机密”添加互操作对象“hwvpn-activeIP-01”、“hwvpn-activeIP-02”至成员列表，“Shared Secret”设置为“Test@123”。创建Star组网的VPN Community，与华为云VPN的静态路由模式对接时VPN通道共享必须选择：每对网关一个VPN通道。MEP 勾选“选择离源最近的网关（第一个响应）”共享机密勾选“对于所有外部成员只使用共享机密”添加互操作对象“hwvpn-activeIP-01”、“hwvpn-activeIP-02”至成员列表，“Shared Secret”设置为“********”四、检查连接状态4.1、华为侧连接状态查看华为侧VPN的链接状态和SA，注意连接都不要配置健康检查4.2、CheckPoint侧连接状态