使用IPsec-VPN实现本地数据中心和阿里云VPC之间的网络互通时，在阿里云侧完成VPN网关的配置后，您还需在本地数据中心的网关设备中添加VPN配置。本文以华为防火墙为例，介绍如何在本地网关设备中添加VPN配置。

　　本文场景中，本地数据中心使用一台华为防火墙的两个公网IP地址，与阿里云建立双隧道模式的IPsec-VPN连接。如果您购买的VPN网关实例仅支持建立单隧道模式的IPsec-VPN连接，请参见文末的单隧道模式配置示例。

　　推荐您升级IPsec-VPN连接为双隧道模式，双隧道模式的IPsec-VPN连接支持可用区级别的容灾，有效提高了网络的高可用性。

　　某公司在本地拥有一个数据中心，本地数据中心中要与阿里云互通的网段为10.34.0.0/24。

　　该公司在阿里云拥有一个专有网络VPC，VPC网段为192.168.0.0/16，VPC中使用云服务器ECS部署了应用服务。

　　公司计划在本地数据中心与云上VPC之间建立双隧道模式的IPsec-VPN连接，实现资源互访。

　　本文将分别描述IPsec-VPN连接使用静态路由方式和BGP动态路由方式下如何配置华为防火墙。如果您不需要使用BGP动态路由方式，可以忽略本部分。以下为本文的BGP地址规划。

　　配置华为防火墙之前，请先在阿里云侧完成创建VPN网关实例、创建用户网关、创建IPsec连接、配置VPN网关路由的任务。

　　本文使用华为USG6000V2防火墙进行配置示例。不同型号版本的防火墙配置可能存在差别，您可以根据实际使用的版本，参考相应的文档或咨询防火墙厂商进行操作配置。

　　单公网IP单出口场景下，您可以将华为防火墙的单个出口，绑定至两个Tunnel接口，并为其配置不同的IPsec policy，以此与阿里云的主备隧道进行连接。同时使用IPsec策略的反向路由注入功能来自动生成指向隧道的路由，并自动关联IPsec隧道协商状态来切换流量。

　　如果本地IDC侧有多个网段要与VPC互通，建议采用目的路由模式与华为防火墙对接。具体操作，请参见多网段配置方案推荐。

　　在本地数据中心侧，设置本地数据中心服务器到华为防火墙的路由后，您可以开始测试本地数据中心和阿里云VPC之间的网络连通性，并验证主备切换。

　　如果ECS实例可以收到本地数据中心服务器的回复报文，则证明本地数据中心和VPC之间可以正常通信。

　　您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道，主隧道两端的预共享密钥不一致，则主隧道会中断。

　　中断主隧道后，您可以观察VPC实例下ECS实例的通信情况，发现ECS实例下的流量在短暂中断后，又重新恢复通信，则表示在主隧道中断后，流量自动通过备隧道进行通信。

　　如果ECS实例可以收到本地数据中心服务器的回复报文，则证明本地数据中心和VPC之间可以正常通信。

　　您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道，主隧道两端的预共享密钥不一致，则主隧道会中断。

　　中断主隧道后，您可以观察VPC实例下ECS实例的通信情况，发现ECS实例下的流量在短暂中断后，又重新恢复通信，则表示在主隧道中断后，流量自动通过备隧道进行通信iphone有vpn可以看什么软件哪个好。

　　双公网IP双出口场景下，您可以将华为防火墙两个出口，分别绑定至两个Tunnel接口，并为其配置不同的IPsec policy，以此与阿里云的主备隧道进行连接。同时使用IPsec策略的反向路由注入功能来自动生成指向隧道的路由，并自动关联IPsec隧道协商状态来切换流量。

　　如果本地IDC侧有多个网段要与VPC互通，建议采用目的路由模式与华为防火墙对接。具体操作，请参见多网段配置方案推荐。

　　在本地数据中心侧，设置本地数据中心客户端到华为防火墙的路由后，您可以开始测试本地数据中心和阿里云VPC之间的网络连通性，并验证主备切换。

　　如果ECS实例可以收到本地数据中心服务器的回复报文，则证明本地数据中心和VPC之间可以正常通信。

　　您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道，主隧道两端的预共享密钥不一致，则主隧道会中断。

　　中断主隧道后，您可以观察VPC实例下ECS实例的通信情况，发现ECS实例下的流量在短暂中断后，又重新恢复通信，则表示在主隧道中断后，流量自动通过备隧道进行通信。

　　如果ECS实例可以收到本地数据中心服务器的回复报文，则证明本地数据中心和VPC之间可以正常通信。

　　您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道，主隧道两端的预共享密钥不一致，则主隧道会中断。

　　中断主隧道后，您可以观察VPC实例下ECS实例的通信情况，发现ECS实例下的流量在短暂中断后，又重新恢复通信，则表示在主隧道中断后，流量自动通过备隧道进行通信。

　　某公司在本地拥有一个数据中心，本地数据中心中要与阿里云互通的网段为10.34.0.0/24。

　　该公司在阿里云拥有一个专有网络VPC，VPC网段为192.168.0.0/16，VPC中使用云服务器ECS部署了应用服务。

　　公司计划在本地数据中心与云上VPC之间建立单隧道模式的IPsec-VPN连接，实现资源互访。

　　您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作，请参见建立VPC到本地数据中心的连接（单隧道模式）。

　　本文使用华为USG6000V2版本进行配置示例。不同型号版本的防火墙配置可能存在差别，您可以根据实际使用的版本，参考相应的文档或咨询防火墙厂商进行操作配置。

　　如果本地IDC侧有多个网段要与VPC互通，建议采用目的路由模式与华为防火墙对接。具体操作，请参见多网段配置方案推荐。

　　在本地数据中心侧，设置本地数据中心服务器到华为防火墙的路由后，您可以开始测试本地数据中心和阿里云VPC之间的网络连通性。

　　登录到VPC内一台无公网IP的ECS实例。关于如何登录ECS实例，请参见ECS远程连接方式概述。