创建vpn网关-凯发k8国际娱乐官网入口
操作场景
您需要将vpc中的弹性云服务器和您的数据中心或私有网络连通,需要先创建vpn网关。按需计费购买vpn网关时,可以同时购买一条与其关联的vpn连接。
前置条件
- 请确认虚拟私有云vpc已经创建完成。如何创建虚拟私有云vpc,请参见。
- 请确认虚拟私有云vpc的安全组规则已经配置,ecs通信正常。如何配置安全组规则,请参见。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 在系统凯发k8国际娱乐k8凯发官网入口首页,单击“网络 > 虚拟专用网络”。
- 在左侧导航栏选择“虚拟专用网络 > 经典版-vpn网关”。
如果所在region已同步上线企业版vpn,请选择“虚拟专用网络 > 经典版”。
- 在“vpn网关”界面,单击“创建vpn网关”。
- 根据界面提示配置参数,并单击“立即购买”。vpn网关参数请参见表1
表1 vpn网关参数说明 参数
说明
取值样例
计费模式
vpn网关支持按需计费和包年/包月两种计费模式。
按需计费:购买vpn网关时,可以同时购买一条与其相关联的vpn连接。
包年/包月:在创建vpn网关时一次性收费,包含网关带宽费用和固定连接条目的费用,创建条目数内的vpn连接不再额外收取费用。
包年/包月
区域
不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。
华北-北京四
名称
vpn网关名称。
vpngw-001
虚拟私有云
vpn接入的vpc名称。
vpc-001
类型
vpn类型。默认为选择“ipsec”。
ipsec
计费方式
按需计费支持两种计费方式:按带宽计费/按流量计费。
计费模式为包年/包月时只支持按宽带计费。
- 按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。
- 按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。
按流量计费
带宽大小
本地vpn网关的带宽大小(单位mbit/s),为所有基于该网关创建的vpn连接共享的带宽,vpn连接带宽总和不超过vpn网关的带宽。
在vpn使用过程中,当网络流量超过vpn带宽时有可能造成网络拥塞导致vpn连接中断,请用户提前做好带宽规划。
可以在ces监控中配置告警规则对带宽进行监控。
10
vpn连接数
当计费模式为“包年/包月”模式时需要配置此参数。
一个数据中心有一个网关,一个网关需要建立一个vpn连接,可根据数据中心的数量选择vpn连接数。
支持创建的连接数为:10、20、30、40、50、100、200、300、400、500。
20
购买时长
需要购买的时长,只可以按月或按年购买。
当计费模式为“包年/包月”模式时需要配置此参数。
1年
描述
vpn网关的描述信息。
-
当用户创建的vpn网关为按需计费时,默认创建一个vpn连接(深圳region除外),所以需要同时配置与vpn网关关联的vpn连接参数,详细请参见表2。
表2 vpn连接参数说明 参数
说明
取值样例
名称
vpn连接名称
vpn-001
vpn网关
vpn连接挂载的vpn网关名称
vpcgw-001
本端子网
本端子网指需要通过vpn访问用户本地网络的vpc子网。支持以下方式设置本端子网:
- 选择子网,表示用户数据中心或者私有网络与您选择的子网进行互通。
- 手动输入网段,表示用户数据中心或者私有网络与您配置的网段之间进行互通。
说明:
多个本端子网不支持子网网段重叠。
192.168.1.0/24,
192.168.2.0/24
远端网关
您的数据中心或私有网络中vpn的公网ip地址,用于与vpc内的vpn互通。
-
远端子网
远端子网指需要通过vpn访问vpc的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端vpc已有的对等连接网段、专线/云连接的远端子网网段重复。
说明:多个远端子网不支持子网网段重叠。
192.168.3.0/24,
192.168.4.0/24
预共享密钥
配置在vpc的vpn和您的数据中心的vpn中,配置需要一致。
取值范围:
- 取值长度:6~128个字符。
- 只能包括以下几种字符:
- 数字
- 大小写字母
- 特殊符号:包括“~”、“`”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“ ”、“=”、“[”、“]”、“{”、“}”、“|”、"\"、","、"."、"/"、“:”和“;”
test@123
确认密钥
再次输入预共享密钥。
test@123
高级配置
自定义配置
表3 ike策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:
- md5(此算法安全性较低,请慎用)
- sha1(此算法安全性较低,请慎用)
- sha2-256
- sha2-384
- sha2-512
默认配置为:sha2-256。
sha2-256
加密算法
加密算法,支持的算法:
- aes-128
- aes-192
- aes-256
- 3des(此算法安全性较低,请慎用)
默认配置为:aes-128。
aes-128
dh算法
diffie-hellman密钥交换算法,支持的算法:
- group 1(此算法安全性较低,请慎用)
- group 2(此算法安全性较低,请慎用)
- group 5(此算法安全性较低,请慎用)
- group 14
- group 15
- group 16
- group 19
- group 20
- group 21
默认配置为:group 14。
协商双方的dh算法必须一致,否则会导致协商失败。
group 14
版本
ike密钥交换协议版本,支持的版本:
- v1(有安全风险不推荐)
- v2
默认配置为:v2。
v2
生命周期(秒)
安全联盟(sa—security association)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:86400。
86400
表4 ipsec策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:
- sha1(此算法安全性较低,请慎用)
- md5(此算法安全性较低,请慎用)
- sha2-256
- sha2-384
- sha2-512
默认配置为:sha2-256。
sha2-256
加密算法
加密算法,支持的算法:
- aes-128
- aes-192
- aes-256
- 3des(此算法安全性较低,请慎用)
默认配置为:aes-128。
aes-128
pfs
pfs(perfect forward secrecy)即完美前向安全功能,用来配置ipsec隧道协商时使用。
pfs组支持的算法:
- dh group 1(此算法安全性较低,请慎用)
- dh group 2(此算法安全性较低,请慎用)
- dh group 5(此算法安全性较低,请慎用)
- dh group 14
- dh group 15
- dh group 16
- dh group 19
- dh group 20
- dh group 21
默认配置为:dh group 14。
dh group 14
传输协议
ipsec传输和封装用户数据时使用的安全协议,目前支持的协议:
- esp
- ah
- ah-esp
默认配置为:esp。
esp
生命周期(秒)
安全联盟(sa—security association)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:3600。
3600
以下算法安全性较低,请慎用:
认证算法:sha1、md5。
加密算法:3des。
dh算法:group 1、group 2、group 5。
- 确认购买的vpn网关信息,单击“提交”。
vpn网关创建成功后,系统会分配一个公网出口ip,即vpn网关列表中“网关ip”对应显示的ip地址。该网关ip也是用户侧vpn网络配置对应的远端网关ip。如图1所示。
图1 vpn网关列表
计费模式为包年/包月的vpn网关创建完成后,vpn网关的状态为“未连接”。当有vpn连接使用该vpn网关时,vpn网关的状态更新为“正常”。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨