华为云控制台操作步骤
前提条件
云上VPC及其子网已经创建完成。
操作步骤
- 登录华为云管理控制台。
- 选择。
- 配置VPN网关。
- 选择“虚拟专用网络 > 企业版-VPN网关”,单击“站点入云VPN网关”的页签后,再单击“创建站点入云VPN网关”。
- 根据界面提示配置参数,单击“立即购买”。
VPN网关参数说明如表1所示。 此处仅对关键参数进行说明,非关键参数请保持默认。
表1 VPN网关关键参数说明 参数
说明
取值参数
名称
VPN网关的名称。
vpngw-001
关联模式
选择“虚拟私有云”。
虚拟私有云
虚拟私有云
选择华为云需要和用户数据中心通信的VPC。
vpc-001(192.168.0.0/16)
互联子网
用于VPN网关和用户数据中心的VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。
192.168.2.0/24
本端子网
华为云VPC需要与用户数据中心VPC互通的子网。
192.168.0.0/24
BGP ASN
BGP自治系统号码。
64512
HA模式
选择VPN网关的工作模式。
双活
主EIP
VPN网关和用户数据中心通信的公网IP1。
1.1.1.2
主EIP2
VPN网关和用户数据中心通信的公网IP2。
2.2.2.2
- 配置对端网关。
- 选择“虚拟专用网络 > 企业版-对端网关”,单击“创建对端网关”。
- 根据界面提示配置参数。
对端网关参数说明如表2所示。 此处仅对关键参数进行说明,非关键参数请保持默认。
表2 对端网关参数说明 参数
说明
取值参数
名称
对端网关的名称。
cgw-ali
标识
- IP Address:使用对端网关的网关IP作为IP Address。
- FQDN:全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。
如果对端网关无固定IP,请选择FQDN类型标识。
说明:请确认对端网关的ACL规则已经放通UDP端口4500。
IP Address
1.1.1.1
BGP ASN
请输入用户数据中心或私有网络的ASN。
用户数据中心的BGP ASN与VPN网关的BGP ASN不能相同。
65515
- 配置VPN连接。
本场景下,阿里云VPN网关仅支持单IP地址方案,华为云VPN网关的主备EIP分别和该IP地址创建一条VPN连接。
- 选择“虚拟专用网络 > 企业版-VPN连接”,单击“创建VPN连接”。
- 根据界面提示配置参数。
VPN连接参数说明如表3所示。 此处仅对关键参数进行说明,非关键参数请保持默认。
表3 VPN连接参数说明 参数
说明
取值参数
名称
VPN连接的名称。
vpn-001
VPN网关
选择VPN网关。
vpngw-001
网关IP
选择VPN网关已绑定的主EIP。
1.1.1.2
对端网关
选择对端网关。
cgw-ali
连接模式
选择“BGP路由模式”。
BGP路由模式
对端子网
用户数据中心中需要和华为云VPC通信的子网。
- 对端子网与本端子网可以重叠,不能重合;对端子网不能被本网关关联的VPC内已有子网所包含。
- 部分网段是VPC预留网段,不能作为对端子网,例如:100.64.0.0/10,214.0.0.0/8。
172.16.0.0/24
接口分配方式
- 手动分配
本示例以“手动分配”为例。
- 自动分配
手动分配
本端隧道接口地址
VPN网关的Tunnel隧道IP地址。
169.254.70.2/30
对端隧道接口地址
对端网关的Tunnel隧道IP地址。
169.254.70.1/30
预共享密钥、确认密钥
和防火墙连接的预共享密钥需要保持一致。
请根据实际设置
策略配置
和防火墙的策略配置需要保持一致。
- IKE策略
- 认证算法:SHA2-256
- 加密算法:AES-128
- DH算法:Group 14
- 版本:v2
- 生命周期(秒):86400
- 本端标识:IP Address
- 对端标识:IP Address
- IPsec策略
- 认证算法:SHA2-256
- 加密算法:AES-128
- PFS:DH Group 14
- 传输协议:ESP
- 生命周期(秒):3600
- 创建第二条VPN连接。
此处仅对和第一条VPN连接配置不同的参数进行说明,未提及参数建议和第一条VPN连接保持一致。
表4 第二条VPN连接参数说明 参数
说明
取值参数
名称
VPN连接的名称。
vpn-002
网关IP
选择VPN网关已绑定的主EIP2。
2.2.2.2
本端隧道接口地址
VPN网关的Tunnel隧道IP地址。
169.254.71.2/30
对端隧道接口地址
对端网关的Tunnel隧道IP地址。
169.254.71.1/30
