创建vpn连接-凯发k8国际娱乐官网入口
操作场景
您需要将vpc中的弹性云服务器和您的数据中心或私有网络连通,创建vpn网关后需要创建vpn连接。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 在系统凯发k8国际娱乐k8凯发官网入口首页,单击“网络 > 虚拟专用网络”。
- 在左侧导航栏选择“虚拟专用网络 > 经典版-vpn连接”。
如果所在region已同步上线企业版vpn,请选择“虚拟专用网络 > 经典版”。
- 在“vpn连接”页面,单击“创建vpn连接”。
- 根据界面提示配置参数,并单击“立即购买”。vpn连接参数请参见表1。
表1 vpn连接参数说明 参数
说明
取值样例
区域
不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。
华北-北京四
名称
vpn连接名称。
vpn-001
vpn网关
vpn连接挂载的vpn网关名称。
vpcgw-001
本端子网
本端子网指需要通过vpn访问用户本地网络的vpc子网。支持以下方式设置本端子网:
- 选择子网,表示用户数据中心或者私有网络与您选择的子网进行互通。
- 手动输入网段,表示用户数据中心或者私有网络与您配置的网段之间进行互通。
说明:
多个本端子网不支持子网网段重叠。
192.168.1.0/24,
192.168.2.0/24
远端网关
您的数据中心或私有网络中vpn的公网ip地址,用于与vpc内的vpn互通。
-
远端子网
远端子网指需要通过vpn访问vpc的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端vpc已有的对等连接网段、专线/云连接的远端子网网段重复。
说明:多个远端子网不支持子网网段重叠。
192.168.3.0/24,
192.168.4.0/24
预共享密钥
配置在云上vpn连接的密钥,需要与本地网络vpn设备配置的密钥一致。此密钥用于vpn连接协商。
取值范围:
- 取值长度:6~128个字符。
- 只能包括以下几种字符:
- 数字
- 大小写字母
- 特殊符号:包括“~”、“`”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“ ”、“=”、“[”、“]”、“{”、“}”、“|”、"\"、","、"."、"/"、“:”和“;”
test@123
确认密钥
再次输入预共享密钥。
test@123
高级配置
自定义配置
表2 ike策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:
- md5(此算法安全性较低,请慎用)
- sha1(此算法安全性较低,请慎用)
- sha2-256
- sha2-384
- sha2-512
默认配置为:sha2-256。
sha2-256
加密算法
加密算法,支持的算法:
- aes-128
- aes-192
- aes-256
- 3des(此算法安全性较低,请慎用)
默认配置为:aes-128。
aes-128
dh算法
diffie-hellman密钥交换算法,支持的算法:
- group 1(此算法安全性较低,请慎用)
- group 2(此算法安全性较低,请慎用)
- group 5(此算法安全性较低,请慎用)
- group 14
- group 15
- group 16
- group 19
- group 20
- group 21
默认配置为:group 14。
group 14
版本
ike密钥交换协议版本,支持的版本:
- v1(有安全风险不推荐)
- v2
默认配置为:v2。
v2
生命周期(秒)
安全联盟(sa—security association)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:86400。
86400
表3 ipsec策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:
- sha1(此算法安全性较低,请慎用)
- md5(此算法安全性较低,请慎用)
- sha2-256
- sha2-384
- sha2-512
默认配置为:sha2-256。
sha2-256
加密算法
加密算法,支持的算法:
- aes-128
- aes-192
- aes-256
- 3des(此算法安全性较低,请慎用)
默认配置为:aes-128。
aes-128
pfs
pfs(perfect forward secrecy)即完美前向安全功能,用来配置ipsec隧道协商时使用。
pfs组支持的算法:
- dh group 1(此算法安全性较低,请慎用)
- dh group 2(此算法安全性较低,请慎用)
- dh group 5(此算法安全性较低,请慎用)
- dh group 14
- dh group 15
- dh group 16
- dh group 19
- dh group 20
- dh group 21
默认配置为:dh group 14。
dh group 14
传输协议
ipsec传输和封装用户数据时使用的安全协议,目前支持的协议:
- ah
- esp
- ah-esp
默认配置为:esp。
esp
生命周期(秒)
安全联盟(sa—security association)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:3600。
3600
ike策略指定了ipsec隧道在协商阶段的加密和认证算法,ipsec策略指定了ipsec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在vpc上的vpn连接和您数据中心的vpn中需要进行相同的配置,否则会导致vpn无法建立连接。
以下算法安全性较低,请慎用:
- 认证算法:sha1、md5。
- 加密算法:3des。
- dh算法:group 1、group 2、group 5。
- 单击“提交”。
- 因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行ipsec vpn隧道配置。
- vpn设备支持列表请参见哪些设备可以与华为云进行vpn对接?。
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨