场景描述
如果您需要将VPC中的弹性云主机和数据中心或私有网络连通,创建VPN网关、对端网关之后,需要继续创建VPN连接。
约束与限制
使用静态路由模式创建VPN连接时,使能NQA前请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。
操作步骤
登录管理控制台,单击“网络 > VPN”进入VPN控制台。
在左侧导航栏,单击“虚拟专用网络 > 企业版-VPN连接”。
在“VPN连接”页面,单击“创建VPN连接”。
说明
VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性,强烈建议配置。
根据界面提示配置参数,单击“立即购买”。
表-VPN连接参数说明
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | VPN连接的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。 | vpn-001 |
| VPN网关 | 选择待关联的VPN网关名称。 如果您使用国密型VPN网关,且VPN网关没有绑定相关证书,请先单击右侧“上传证书”完成上传证书操作,否则VPN连接将无法建立。 | vpngw-001 |
| 网关IP | 选择VPN网关IP。 VPN网关对接同一对端网关时,不能选择已使用过的EIP地址。 | 可选的网关IP |
| 对端网关 | 选择对端网关信息。 如果您使用国密型网关,且对端网关没有绑定CA证书,请先参见本指南“企业版对端网关管理 > 上传对端网关证书”上传CA证书,否则VPN连接将无法建立。 说明 如果一个对端网关同时对接多个VPN网关,则VPN网关的BGP ASN和连接模式需要相同。 | cgw-001 |
| 连接模式 | IPsec连接的模式,支持路由模式和策略模式。
| 静态路由模式 |
| 对端子网 | 指需要通过VPN连接访问云上VPC的用户侧子网。 若存在多个对端子网,请用半角逗号(,)隔开。 说明
| 172.16.1.0/24,172.16.2.0/24 |
| 接口分配方式 | 仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。 说明
| 自动分配 |
| 本端隧道接口地址 | 仅“接口分配方式”采用“手动分配”时需要配置。 配置在VPN网关上的tunnel接口地址。 | - |
| 对端隧道接口地址 | 仅“接口分配方式”采用“手动分配”时需要配置。 配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 | - |
| 检测机制 | 仅“连接模式”采用“静态路由模式”时需要配置。 说明
| 勾选 |
| 预共享密钥 | VPN网关和对端网关的预共享密钥需要保持一致。 取值范围:
说明 国密型VPN连接无此参数。 | Test@123 |
| 确认密钥 | 再次输入预共享密钥。 说明 国密型VPN连接无此参数。 | Test@123 |
| 策略规则 | 仅“连接模式”采用“策略模式”时需要配置。 用于定义本端子网到对端子网之间具体进入VPN连接加密隧道的数据流信息,由源网段与目的网段来定义。系统默认支持配置5条策略规则。
| 源网段1:192.168.1.0/24目的网段1:172.16.1.0/24,172.16.2.0/24源网段2:192.168.2.0/24目的网段2:172.16.1.0/24,172.16.2.0/24 |
| 策略配置 |
| 自定义配置 |
表-IKE策略说明
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 版本 | IKE密钥交换协议版本,支持的版本:
国密型VPN连接默认配置为:v1。 非国密型VPN连接默认配置为:v2。 | v2 |
| 协商模式 | 仅“版本”采用“v1”时需要配置。
| Main |
| 认证算法 | 认证哈希算法,支持的算法:
国密型VPN连接默认配置为:SM3。 非国密型VPN连接默认配置为:SHA2-256。 | SHA2-256 |
| 加密算法 | 加密算法,支持的算法:
国密型VPN连接默认配置为:SM4。 非国密型VPN连接默认配置为:AES-128。 | AES-128 |
| DH算法 | 支持的算法:
默认配置为:Group 15。 说明 国密型VPN连接无此参数。 | Group 14 |
| 生命周期(秒) | 安全联盟(Security Association,SA)的生存时间。 在超过生存时间后,安全联盟将被重新协商。
| 86400 |
| 本端标识 | IPsec连接协商时,VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致,否则协商失败。
说明 国密型VPN连接无此参数。 | IP Address |
| 对端标识 | IPsec连接协商时,对端网关的鉴权标识。在对端网关配置的对端网关标识需要和此处配置的对端标识保持一致,否则协商失败。
说明 国密型VPN连接无此参数。 | IP Address |
表-IPsec策略说明
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 认证算法 | 认证哈希算法,支持的算法:
国密型VPN连接默认配置为:SM3。 非国密型VPN连接默认配置为:SHA2-256。 | SHA2-256 |
| 加密算法 | 加密算法,支持的算法:
国密型VPN连接默认配置为:SM4。 非国密型VPN连接默认配置为:AES-128。 | AES-128 |
| PFS | PFS(Perfect Forward Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。 PFS组支持的算法:
默认配置为:DH group 15。 说明
| DH group 15 |
| 传输协议 | IPsec传输和封装用户数据时使用的安全协议。目前支持的协议:
默认配置为:ESP。 | ESP |
| 生命周期(秒) | 安全联盟(Security Association,SA)的生存时间。 在超过生存时间后,安全联盟将被重新协商。
| 3600 |
| 报文封装模式 | 默认设置为隧道(TUNNEL)模式。 | TUNNEL |
说明
IKE策略指定了IPsec隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致,否则会导致VPN协商失败,进而导致VPN连接建立失败。
以下算法安全性较低,请慎用:
认证算法:SHA1、MD5。
加密算法:3DES、AES-128、AES-192、AES-256。
出于部分对端设备不支持安全加密算法的考虑,VPN连接的默认加密算法仍为AES-128。在对端设备功能支持的情况下,建议使用更安全的加密算法。
DH算法:Group 1、Group 2、Group 5、Group 14。
确认VPN连接规格,单击“提交”。
参见上述步骤,创建第二条VPN连接。
VPN连接的IP对应关系,请参见本指南“企业版VPN网关管理 > 创建VPN网关 > 背景信息”。
