深信服IPSec-VPN快速配置文档

深信服IPSecVPN快速配置文档一、用户环境与需求A公司在阿里云VPC专有网络里部署了一个灾备中心，希望通过公司总部内网部署的深信服VPN设备与阿里云上的深信服VPN设备建立一个IPSecVPN隧道，将公司内部机房的数据同步到灾备中心。二、设备配置1、公司总部防火墙上的配置由于公司总部的深信服VPN设备接在内网，且该设备做VPN连接时是以总部部署，所以需要在前置防火墙上将公网IP的TCP/UDP的4009（默认端口）端口映射给VPN设备。2、公司总部三层交换机上的配置添加到阿里云VPC专有网络网段的路由，下一跳指向深信服VPN设备，将数据交由深信服VPN设备进行封装处理。3、总部VPN设备上的配置第一步：配置WEBAGENT，进入『IPSECVPN设置』→『基本设置』，设置好主webagent信息，MTU和最小压缩值默认即可，监听端口采用默认值，其中，主webagent配置成“防火墙映射的公网IP地址:4009”。第三步：为分支建一个VPN账号，进入『IPSECVPN设置』→『用户管理』，新增一个VPN账号，选择类型为分支，配置界面如下：第四步：新增本地子网，宣告总部需要进行VPN互连的网段，进入『系统设置』→『网路配置』→『本地子网』，新增总部需要进行VPN互连的网段，配置界面如下：以上步骤结束，总部配置完成。4、阿里云深信服VPN设备的配置：建立VPN连接，进入『IPSECVPN设置』→『连接管理』，新建一个连接，填写总部设置的WEBAGNET，总部建的VPN账号，界面如下：以上配置结束后，阿里云VPN设备与公司总部的VPN设备就能够建立IPSecVPN隧道，但是此时两边的服务器通信还是无法实现的，还需要进行下一步的配置——在阿里云VPC虚拟路由器上配置路由。5、在阿里云VPC虚拟路由器上配置路由在阿里云VPC虚拟路由器上添加目的网段是公司总部内网网段的路由，下一跳指向深信服VPN，目的在于把VPC网络指定目的ip组的流量引流到深信服VPN上，将数据交由深信服VPN进行封装处理。至此，公司总部内网的服务器就可以与阿里云上的服务器进行通信，实现数据的同步。