云下华为USG为用户的出口防火墙，通过该设备配置VPN与华为云VPC连通，两端的子网信息和连接方式如图1所示。

用户侧信息：

华为云侧信息：

华为云端的VPN连接资源策略配置按照缺省信息配置，详见图2。

登录防火墙管理页面，选择“网络 ＞ IPsec”，新建IPsec连接，详情如图4所示。

参数名称

说明

虚拟系统

选择默认即可。

策略名称

客户自行指定。

本端接口

配置对接本端公网IP的接口。

本端地址

本端公网IP。

对端地址

对端公网IP。

认证方式

预共享密钥。

本端ID与对端ID

IP地址，并填入对应的公网IP。

待加密数据流

源地址为云下子网，目标地址为云上子网，请勿使用地址组名称配置。

安全提议

按照华为云策略配置，要求两端配置信息一致。

DPD

勾选DPD，选择按需发送，配置信息默认即可。

选择“网络 ＞ 路由 ＞ 静态路由”，新建一条目的为华为云子网的静态路由，下一跳指向本地出接口网关IP。

参数名称

说明

协议类型

IPv4。

源虚拟路由器

选择默认的“public”。

目的地址/掩码

云端子网地址。

目的虚拟路由器

选择默认的“public”。

出接口

本端公网IP配置的接口。

下一跳

本端公网地址下一跳。

其余配置默认即可，存在多出口时，需额外添加访问云端公网IP从此出接口流出的路由。

选择“策略 ＞ NAT策略 ＞ 源NAT”，新建一条本地子网访问华为云不做NAT转换的策略。

参数名称

说明

源安全区域

本端子网所在安全区域。

目的区域

华为云子网所在安全区域，一般为untrust。

源地址

本端子网。

目的地址

华为云对端子网。

服务

any

转换方式

不做NAT转换

例如已配置缺省策略：源区域为any，访问目标区域any，出口转换为接口地址。请额外添加一条NAT策略：源区域为local，目标区域为any，转换方式为不做NAT转换，并将该策略置于缺省策略之上。

选择“策略 ＞ 安全策略 ＞ 安全策略”，新建一条本地子网访问华为云的放行策略。

参数名称

说明

源安全区域

本端子网所在区域。

源安全区域

本端子网所在安全区域。

目的区域

华为云子网所在安全区域，一般为untrust。

源地址

本端子网。

目的地址

华为云对端子网。

服务

any。

动作

允许

为确保该策略优先匹配，请将该策略置顶。

完成配置后，请选择“网络 ＞ IPsec ＞ IPsec”，单击对应策略列的“诊断”，发起连接协商。

连接状态详细在“IPsec-监控”中查看，诊断示意如图8所示。