华为云控制台操作步骤
前提条件
云上VPC及其子网已经创建完成。
操作步骤
- 登录华为云管理控制台。
- 选择。
- 配置VPN网关。
- 选择“虚拟专用网络 > 企业版-VPN网关”,单击“站点入云VPN网关”的页签后,再单击“创建站点入云VPN网关”。
- 根据界面提示配置参数,单击“立即购买”。
VPN网关参数说明如下所示。 此处仅对关键参数进行说明,非关键参数请保持默认。
表1 VPN网关参数说明 参数
说明
取值参数
名称
VPN网关的名称。
vpngw-001
关联模式
选择“虚拟私有云”。
虚拟私有云
虚拟私有云
选择华为云需要和用户数据中心通信的VPC。
vpc-001(192.168.0.0/16)
互联子网
用于VPN网关和用户数据中心的VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。
192.168.2.0/24
本端子网
华为云VPC需要与用户数据中心VPC互通的子网。
192.168.0.0/24
BGP ASN
BGP自治系统号码。
64512
HA模式
选择VPN网关的工作模式。
双活
主EIP
VPN网关和用户数据中心通信的公网IP1。
1.1.1.2
主EIP2
VPN网关和用户数据中心通信的公网IP2。
2.2.2.2
- 配置对端网关。
- 选择“虚拟专用网络 > 企业版-对端网关”,单击“创建对端网关”。
- 根据界面提示配置参数。
对端网关参数说明如表 对端网关参数说明所示。 此处仅对关键参数进行说明,非关键参数请保持默认。
- 配置VPN连接。
本场景下,对端网关仅支持单IP地址方案,华为云VPN网关推荐使用双活模式,主EIP、主EIP2分别和该IP地址创建一条VPN连接。
- 选择“虚拟专用网络 > 企业版-VPN连接”,单击“创建VPN连接”。
- 根据界面提示配置参数。
VPN连接参数说明如表 VPN连接参数说明所示。 此处仅对关键参数进行说明,非关键参数请保持默认。
表3 VPN连接参数说明 参数
说明
取值参数
名称
VPN连接的名称。
vpn-001
VPN网关
选择VPN网关。
vpngw-001
网关IP
选择VPN网关已绑定的主EIP。
1.1.1.2
对端网关
选择对端网关。
cgw-ali
连接模式
选择“静态路由模式”。
静态路由模式
对端子网
用户数据中心中需要和华为云VPC通信的子网。
- 对端子网与本端子网可以重叠,不能重合;对端子网不能被本网关关联的VPC内已有子网所包含。
- 部分网段是VPC预留网段,不能作为对端子网,例如:100.64.0.0/10,214.0.0.0/8。
172.16.0.0/24
接口分配方式
- 手动分配
本示例以“手动分配”为例。
- 自动分配
手动分配
本端隧道接口地址
VPN网关的Tunnel隧道IP地址。
169.254.70.2/30
对端隧道接口地址
对端网关的Tunnel隧道IP地址。
169.254.70.1/30
检测机制
阿里云不支持NQA功能。
不勾选“使能NQA”
预共享密钥、确认密钥
和对端网关连接的预共享密钥需要保持一致。
请根据实际设置
策略配置
和防火墙的策略配置需要保持一致。
整体支持情况见表 数据规划。
- IKE策略
- 版本:v2
- 认证算法:SHA2-256
- 加密算法:AES-128
- DH算法:Group 14
- 生命周期(秒):86400
- 本端标识:IP Address
- 对端标识:IP Address
- IPsec策略
- 认证算法:SHA2-256
- 加密算法:AES-128
- PFS:DH Group 14
- 传输协议:ESP
- 生命周期(秒):3600
- 创建第二条VPN连接参数。
此处仅对和第一条VPN连接配置不同的参数进行说明,未提及参数建议和第一条VPN连接保持一致。
表4 第二条VPN连接参数说明 参数
说明
取值参数
名称
VPN连接的名称。
vpn-002
网关IP
选择VPN网关已绑定的主EIP2。
2.2.2.2
本端隧道接口地址
VPN网关的Tunnel隧道IP地址。
169.254.71.2/30
对端隧道接口地址
对端网关的Tunnel隧道IP地址。
169.254.71.1/30
