文档首页> 虚拟专用网络 VPN> 最佳实践> 通过VPN和云连接构建跨境网络连接
更新时间:2022-02-18 GMT+08:00
分享

通过VPN和云连接构建跨境网络连接

操作场景

当用户的业务涉及跨境部署时,由于涉及跨境,可能会存在VPN连接不稳定的问题。例如用户侧数据中心在泰国,云上业务在华为云华南区域,泰国数据中心与华南区域需要进行通信。如果直接将泰国的本地数据中心(10.0.1.0/24)通过VPN连接到华南区域的VPC(10.0.3.0/24),则由于涉及跨境问题,会出现不稳定的问题,如图1所示。

图1 使用VPN连接跨国区域场景

针对这种情况,用户可以开通云连接服务,通过云连接和虚拟专用网络的配合,构建稳定跨境网络连通。首先将用户的本地数据中心就近连接到华为云区域,例如泰国区域的用户可以使用VPN,将本地数据中心连接到香港区域(10.0.2.0/24)。再通过云连接连通各个区域,例如将香港区域与华南区域的VPC连接起来。如图2所示。

图2 VPN和云连接配合使用场景图

操作步骤

  1. 在华为云香港区域购买VPN,配置云上VPN服务
    1. 在管理控制台左上角单击图标,选择“中国-香港”区域。
    2. 在系统首页,单击“网络 > 虚拟专用网络”。
    3. 在左侧导航栏,选择“虚拟专用网络 > VPN网关”。
    4. 在VPN网关页面,单击“创建VPN网关”
    5. 根据界面提示,如表1所示填写对应参数后,单击“立即购买”。
      表1 VPN网关参数说明

      参数

      说明

      取值样例

      计费模式

      当前区域的VPN网关支持按需计费。

      按需计费

      区域

      不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。

      本案例中请选择“中国-香港”。

      中国-香港

      名称

      VPN网关的名称。

      vpcgw-001

      虚拟私有云

      VPN接入的VPC名称。

      选择香港区域对应的VPC。

      vpc-001

      类型

      VPN类型。默认为选择“IPsec”。

      IPsec

      计费方式

      按需计费支持两种计费方式:按带宽计费/按流量计费。

      • 按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。
      • 按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。

      按流量计费

      带宽大小

      本地VPN网关的带宽大小(单位Mbit/s),为所有基于该网关创建的VPN连接共享的带宽,VPN连接带宽总和不超过VPN网关的带宽。

      在VPN使用过程中,当网络流量超过VPN带宽时有可能造成网络拥塞导致VPN连接中断,请用户提前做好带宽规划。

      可以在云监控服务中配置告警规则对带宽进行监控。

      100

      表2 VPN连接参数说明

      参数

      说明

      取值样例

      名称

      VPN连接名称。

      vpn-001

      VPN网关

      VPN连接挂载的VPN网关名称。

      vpcgw-001

      本端子网

      本端子网指需要通过VPN访问用户本地网络的VPC子网。

      这里选择网段,来指定本端子网,此处需要将香港和华南两个子网都填写进去,以保证华南发出的流量也能进入VPN隧道。

      这里填写10.0.2.0/24,10.0.3.0/24

      10.0.2.0/24,

      10.0.3.0/24

      远端网关

      用户本地数据中心侧的VPN网关地址

      这里填写泰国区域本地数据中心的VPN网关地址

      -

      远端子网

      远端子网指需要通过VPN访问VPC的用户本地子网。

      这里填写10.0.1.0/24

      10.0.1.0/24

      预共享密钥

      预共享密钥(Pre Shared Key),指配置在云上VPN连接的密钥,需要与本地网络VPN设备配置的密钥一致。此密钥用于VPN连接协商。

      取值范围:

      • 取值长度:6~128位。
      • 只能包括以下几种字符:
        • 数字
        • 大小写字母
        • 特殊符号:包括“~”、“`”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“+”、“=”、“[”、“]”、“{”、“}”、“|”、"\"、","、"."、"/"、“:”和“;”

      Test@123

      确认密钥

      再次输入预共享密钥。

      Test@123

      高级配置

      • 默认配置
      • 自定义配置:自定义配置IKE策略和IPsec策略。相关配置说明请参见表3表4

      自定义配置

      表3 IKE策略

      参数

      说明

      取值样例

      认证算法

      认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5。

      默认配置为:SHA2-256。

      SHA2-256

      加密算法

      加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(有安全风险不推荐)。

      默认配置为:AES-128。

      AES-128

      DH算法

      Diffie-Hellman密钥交换算法,支持的算法:Group 1、Group 2、Group 5、Group 14、Group 15、Group 16、Group 19、Group 20、Group 21。

      默认配置为:Group 14。

      协商双方的dh算法必须一致,否则会导致协商失败。

      Group 14

      版本

      IKE密钥交换协议版本,支持的版本:v1、v2。

      默认配置为:v2。

      v2

      生命周期(秒)

      安全联盟(SA—Security Association)的生存时间,单位:秒。

      在超过生存时间后,安全联盟将被重新协商。

      默认配置为:86400。

      86400

      协商模式

      选择IKE策略版本为“v1”时,可以配置协商模式,取值支持Main、Aggressive。

      默认配置为:Main

      Main

      表4 IPsec策略

      参数

      说明

      取值样例

      认证算法

      认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5。

      默认配置为:SHA2-256。

      SHA2-256

      加密算法

      加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(有安全风险不推荐)。

      默认配置为:AES-128。

      AES-128

      PFS

      PFS(Perfect Forward Secrecy)即完美前向安全功能,用来配置IPsec隧道协商时使用。

      PFS组支持的算法:DH group 1、DH group 2、DH group 5、DH group 14、DH group 15、DH group 16、DH group 19、DH group 20、DH group 21。

      默认配置为:DH group 14。

      DH group 14

      传输协议

      IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:AH、ESP、AH-ESP。

      默认配置为:ESP。

      ESP

      生命周期(秒)

      安全联盟(SA—Security Association)的生存时间,单位:秒。

      在超过生存时间后,安全联盟将被重新协商。

      默认配置为:3600。

      3600

      以下算法安全性较低,请慎用:

      认证算法:SHA1、MD5。

      加密算法:3DES。

      DH算法:Group 1、Group 2、Group 5。

  2. 配置用户侧数据中心的VPN网关(即泰国的用户VPN网关)

    根据用户使用的VPN网关设备型号,进行相应的配置。

    在IPsec策略中引用的ACL,应配置如下:

    • 源网段 : 10.0.1.0/24
    • 目的网段 : 10.0.2.0/24,10.0.3.0/24
  3. 在云连接服务中购买云连接实例。具体步骤请参见创建云连接实例
  4. 加载网络实例。
    将香港区域的VPC和华南区域的VPC加入到云连接中。
    • 加载香港VPC时,配置的参数请参见表5
    • 加入华南VPC时,只需要指定VPC子网10.0.3.0/24即可,不需要重复指定泰国的网段10.0.1.0/24 。
    表5 加载同帐号网络实例参数

    参数

    说明

    取值样例

    帐号

    加载的网络实例的帐号类型。

    同帐号加载

    区域

    需要连接的VPC所在区域。

    中国-香港

    实例类型

    需要加载到云连接实例中实现网络互通的实例类型。

    虚拟私有云(VPC)

    VPC

    需要加载到云连接实例中实现网络互通的VPC名称。

    这里选择在步骤1.e时选择的VPC。

    vpc-001

    VPC CIDRs

    需要加载到云连接实例中实现网络互通的网段路由。

    当类型参数选择虚拟私有云时,需配置以下两个参数:

    • 子网:选择VPC管理的子网,这里选10.0.2.0/24
    • 自定义网段:为了使云连接能够转发到达泰国本地数据中心的流量,此处需要增加自定义网段10.0.1.0/24

    子网:10.0.2.0/24

    自定义网段:10.0.1.0/24

    VGW

    需要加载到云连接实例中实现网络互通的VGW名称。当类型选择虚拟网关时,需要配置此参数。

    vgw-w2

    VGW CIDRs

    需要加载到云连接实例中,实现网络互通的VGW内的VPC和远端用户站点的网段路由。当类型参数选择虚拟网关时,需配置以下两个参数:

    • VPC CIDRs
    • 远端子网

    VPC CIDRs:192.168.0.3/24

  5. 配置域间带宽。

    具体步骤请参见配置域间带宽

  6. 检查路由信息。

    在香港VPC实例中,应该包括目的网段为10.0.1.0/24和10.0.2.0/24两条路由信息。

    在华南VPC实例中,应该包括10.0.3.0/24一条路由信息。

    具体步骤请参见查看路由信息

  7. 测试业务的连通性。

    在华南区域创建虚机部署用户业务,例如虚机的IP地址为10.0.3.17

    假设泰国本地数据中心网络的机器IP地址为10.0.1.17 。

    从用户侧数据中心机器10.0.1.17 ping包到 10.0.3.17,此时会触发隧道协商。

    正常情况下,ping包会通,同时在用户侧数据中心VPN网关上可以查看到IPsec VPN隧道信息(不同型号的网关查看方式略有不同)。

分享:

    相关文档

    相关产品

close