凯发k8国际娱乐官网入口-k8凯发> 虚拟专用网络 vpn> > > 创建vpn连接
更新时间:2023-08-01 gmt 08:00

创建vpn连接-凯发k8国际娱乐官网入口

操作场景

您需要将vpc中的弹性云服务器和您的数据中心或私有网络连通,创建vpn网关后需要创建vpn连接。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在系统凯发k8国际娱乐k8凯发官网入口首页,单击“网络 > 虚拟专用网络”。
  4. 在左侧导航栏选择“虚拟专用网络 > 经典版-vpn连接”。

    如果所在region已同步上线企业版vpn,请选择“虚拟专用网络 > 经典版”。

  5. 在“vpn连接”页面,单击“创建vpn连接”。
  6. 根据界面提示配置参数,并单击“立即购买”。vpn连接参数请参见表1
    表1 vpn连接参数说明

    参数

    说明

    取值样例

    区域

    不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。

    华北-北京四

    名称

    vpn连接名称。

    vpn-001

    vpn网关

    vpn连接挂载的vpn网关名称。

    vpcgw-001

    本端子网

    本端子网指需要通过vpn访问用户本地网络的vpc子网。支持以下方式设置本端子网:

    • 选择子网,表示用户数据中心或者私有网络与您选择的子网进行互通。
    • 手动输入网段,表示用户数据中心或者私有网络与您配置的网段之间进行互通。
      说明:

      多个本端子网不支持子网网段重叠。

    192.168.1.0/24,

    192.168.2.0/24

    远端网关

    您的数据中心或私有网络中vpn的公网ip地址,用于与vpc内的vpn互通。

    -

    远端子网

    远端子网指需要通过vpn访问vpc的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端vpc已有的对等连接网段、专线/云连接的远端子网网段重复。

    说明:

    多个远端子网不支持子网网段重叠。

    192.168.3.0/24,

    192.168.4.0/24

    预共享密钥

    配置在云上vpn连接的密钥,需要与本地网络vpn设备配置的密钥一致。此密钥用于vpn连接协商。

    取值范围:

    • 取值长度:6~128个字符。
    • 只能包括以下几种字符:
      • 数字
      • 大小写字母
      • 特殊符号:包括“~”、“`”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“ ”、“=”、“[”、“]”、“{”、“}”、“|”、"\"、","、"."、"/"、“:”和“;”

    test@123

    确认密钥

    再次输入预共享密钥。

    test@123

    高级配置
    • 默认配置
    • 已有配置
    • 自定义配置:包含ike策略和ipsec策略,用于指定vpn隧道加密算法。相关配置说明请参见表2表3

    自定义配置
    表2 ike策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • md5(此算法安全性较低,请慎用)
    • sha1(此算法安全性较低,请慎用)
    • sha2-256
    • sha2-384
    • sha2-512

    默认配置为:sha2-256。

    sha2-256

    加密算法

    加密算法,支持的算法:

    • aes-128
    • aes-192
    • aes-256
    • 3des(此算法安全性较低,请慎用)

    默认配置为:aes-128。

    aes-128

    dh算法

    diffie-hellman密钥交换算法,支持的算法:

    • group 1(此算法安全性较低,请慎用)
    • group 2(此算法安全性较低,请慎用)
    • group 5(此算法安全性较低,请慎用)
    • group 14
    • group 15
    • group 16
    • group 19
    • group 20
    • group 21

    默认配置为:group 14。

    group 14

    版本

    ike密钥交换协议版本,支持的版本:

    • v1(有安全风险不推荐)
    • v2

    默认配置为:v2。

    v2

    生命周期(秒)

    安全联盟(sa—security association)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:86400。

    86400
    表3 ipsec策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • sha1(此算法安全性较低,请慎用)
    • md5(此算法安全性较低,请慎用)
    • sha2-256
    • sha2-384
    • sha2-512

    默认配置为:sha2-256。

    sha2-256

    加密算法

    加密算法,支持的算法:

    • aes-128
    • aes-192
    • aes-256
    • 3des(此算法安全性较低,请慎用)

    默认配置为:aes-128。

    aes-128

    pfs

    pfs(perfect forward secrecy)即完美前向安全功能,用来配置ipsec隧道协商时使用。

    pfs组支持的算法:

    • dh group 1(此算法安全性较低,请慎用)
    • dh group 2(此算法安全性较低,请慎用)
    • dh group 5(此算法安全性较低,请慎用)
    • dh group 14
    • dh group 15
    • dh group 16
    • dh group 19
    • dh group 20
    • dh group 21

    默认配置为:dh group 14。

    dh group 14

    传输协议

    ipsec传输和封装用户数据时使用的安全协议,目前支持的协议:

    • ah
    • esp
    • ah-esp

    默认配置为:esp。

    esp

    生命周期(秒)

    安全联盟(sa—security association)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:3600。

    3600

    ike策略指定了ipsec隧道在协商阶段的加密和认证算法,ipsec策略指定了ipsec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在vpc上的vpn连接和您数据中心的vpn中需要进行相同的配置,否则会导致vpn无法建立连接。

    以下算法安全性较低,请慎用:

    • 认证算法:sha1、md5。
    • 加密算法:3des。
    • dh算法:group 1、group 2、group 5。
  7. 单击“提交”。
  8. 因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行ipsec vpn隧道配置。
父主题:
分享:
网站地图