需求说明

将公司内网和阿里云内网，通过vpn site to site方式连接起来。只要在公司无论连接有线还是无线的情况下，都可以不需要配置任何客户端工具连接到阿里云vpc的生产，准生产，测试环境服务器以及管理后台。但是连接数据库需要单独在电脑配置VPN客户端工具。

网络环境说明

公司网络（网关设备华为ASG2100，硬件）：

无线网络：192.168.88.0/24

有线网络：192.168.66.0/24

阿里云网络（VPN网关，软件）：

生产环境：192.168.10.0/24

准生产环境：192.168.20.0/24

测试环境：192.168.30.0/24

数据库：192.168.40.0/24

阿里云配置

阿里云VPN购买流程参考：https://help.aliyun.com/document_detail/52812.html?spm=5176.doc52811.6.543.eyiO4X#VPNconnection

（1）VPN网关之后，创建VPN连接：按照需求输入VPN连接需要使用的VPN网关，选择用户网关，输入本端网段和对端网段；然后就是配置IKE和IPSec信息。

（2）创建的VPN连接：需要配置阿里云所有网段到公司所有网段的连接。（参照第一步进行配置，仅修改本端网段和对端网段地址以及名称即可）

（3）设置路由：配置阿里云流量到公司有线和无线网络下一跳地址都是VPN网关的地址。

至此阿里云VPN配置就完成了

华为路由器配置

注意：如果华为IKE协商参数出现阿里云IKE没有的参数，那么需要咨询阿里云售后进行咨询。我配置过程中一直都是阿里云的IKE参数少于华为的IKE参数。

（1）IKE阶段一配置，所有信息和阿里云IKE配置保持一致

（2）IKE阶段2配置：所有配置和阿里云保持一致

（3）配置IPSec：需要配置公司有线和无线网段到阿里云三个环境（生产、准生产、测试）的连接信息，并应用到外网接口

（4）添加到阿里云网段的静态路由，目的地址选择阿里云网段，下一条选择vpn网关地址。

（5）配置公司内网到阿里云的流量不需要做NAT转换，其余所有网段都通过公司外网出口进行NAT转换。

至此华为设备配置VPN完成

验证连接建立

配置完成之后，华为和阿里云会自动发送协商报文进行VPN连接建立，VPN连接建立后查看华为设备的监控列表，如果出现SA已经建立连接，那么说明VPN隧道搭建成功，可以进行ping测试，如果ping测试成功就表示阿里云到公司的VPN是搭建成功的。

排错思路

（1）VPN 连接建立不成功

VPN连接建立失败的原因，基本都是阿里云和华为设备IKE协商失败，详细检查IKE配置参数即可。

（2）VPN连接建立成功，但是没有加密流量通过

1、阿里云到公司流量没有配置下一条路由

2、公司到阿里云流量没有配置下一条路由

3、公司到阿里云流量进行了NAT转换