Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Virtual Private Network/ Pasos iniciales/ Proceso de compra de VPN clásica/ Compra de una VPN (LA-Mexico City1/LA-Sao Paulo1)
Actualización más reciente 2023-11-13 GMT+08:00

Compra de una VPN (LA-Mexico City1/LA-Sao Paulo1)

Descripción general

De forma predeterminada, los ECS de una VPC no pueden comunicarse con los dispositivos de su centro de datos local o red privada. Para habilitar la comunicación entre ellos, puede usar una VPN creándola en su VPC y actualizando las reglas del grupo de seguridad.

Topología de IPsec VPN

En Figura 1, la VPC tiene subredes 192.168.1.0/24 y 192.168.2.0/24. Su centro de datos local tiene subredes 192.168.3.0/24 y 192.168.4.0/24. Puede usar VPN para permitir que las subredes de la VPC se comuniquen con las de su centro de datos.

Figura 1 VPN sobre IPsec

Huawei Cloud admite la VPN de sitio a sitio para permitir la comunicación entre subredes de VPC y subredes de centros de datos locales. Antes de establecer una VPN IPsec, asegúrese de que el centro de datos local donde se va a establecer la VPN cumple las siguientes condiciones:

  • Los dispositivos locales que admiten el protocolo IPsec estándar están disponibles.
  • Los dispositivos locales tienen direcciones IP públicas fijas, que pueden ser configuradas estáticamente o traducidas por NAT.
  • Las subredes locales no entran en conflicto con las subredes de VPC, y los dispositivos de las subredes locales pueden comunicarse con los dispositivos locales.

Si se cumplen las condiciones anteriores, asegúrese de que las políticas de IKE y de IPsec en ambos extremos sean consistentes y que las subredes en ambos extremos sean pares coincidentes al configurar IPsec VPN.

Una vez completada la configuración, la negociación de VPN debe ser activada por flujos de datos de red privada.

Escenarios

Necesita una VPN que configure un túnel de comunicaciones seguro y aislado entre su centro de datos local y los servicios en la nube.

Requisitos previos

  • Se ha creado una VPC. Para obtener más información sobre cómo crear una VPC, consulte Creación de una VPC y subred.
  • Se han configurado reglas de grupo de seguridad para la VPC, y los ECS pueden comunicarse con otros dispositivos en la nube. Para obtener más información acerca de cómo configurar reglas de grupo de seguridad, consulte Reglas de grupo de seguridad.

Procedimiento

  1. Inicie sesión en la consola de gestión.
  2. Haga clic en en la esquina superior izquierda y seleccione la región y el proyecto deseados.
  3. Haga clic en Service List y elija Networking > Virtual Private Network.
  4. En la página Virtual Private Network, haga clic en Buy VPN.
  5. Configure los parámetros requeridos y haga clic en Next.

    Tabla 1, Tabla 2 y Tabla 3 enumera los parámetros y sus descripciones.

    Tabla 1 Parámetros básicos

    Parámetro

    Descripción

    Valor de ejemplo

    Region

    Las regiones son áreas geográficas que están físicamente aisladas unas de otras. Las redes dentro de diferentes regiones no están conectadas entre sí, por lo que los recursos no se pueden compartir entre regiones. Para una baja latencia de red y un acceso rápido a los recursos, seleccione la región más cercana a los usuarios de destino.

    AP-Singapore

    Billing Mode

    Las VPN se facturan sobre una base de pago por uso.

    Pay-per-use

    Name

    El nombre de la VPN

    VPN-001

    VPC

    El nombre de la VPC

    VPC-001

    Local Subnet

    Subredes de VPC que accederán a su red local con una VPN.

    192.168.1.0/24,

    192.168.2.0/24

    Remote Gateway

    La dirección IP pública del gateway en su centro de datos o en la red privada. Esta dirección IP se utiliza para comunicarse con su VPC.

    N/A

    Remote Subnet

    Las subredes de su red local que accederán a una VPC con una VPN. Las subredes remota y local no pueden solaparse entre sí. Las subredes remotas no pueden superponerse con bloques CIDR implicados en las interconexiones de VPC existentes creadas para la VPC.

    192.168.3.0/24,

    192.168.4.0/24

    PSK

    Clave privada compartida por dos extremos de una conexión de VPN para negociación. Las PSK configuradas en ambos extremos de la conexión de VPN deben ser las mismas.

    La PSK puede contener de 6 a 128 caracteres.

    Test@123

    Confirm PSK

    Ingrese la PSK de nuevo.

    Test@123

    Advanced Settings

    • Default: Utilice las políticas de IKE y de IPsec predeterminadas.
    • Custom: Utilice políticas IKE e IPsec personalizadas. Para más detalles, véase Tabla 2 y Tabla 3.

    Custom

    Tabla 2 Política de IKE

    Parámetro

    Descripción

    Valor de ejemplo

    Authentication Algorithm

    Algoritmo de hash utilizado para la autenticación. Se admiten los siguientes algoritmos:

    • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    El algoritmo predeterminado es SHA2-256.

    SHA2-256

    Encryption Algorithm

    Algoritmo de encriptación. Se admiten los siguientes algoritmos:

    • AES-128
    • AES-192
    • AES-256
    • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)

    El algoritmo predeterminado es AES-128.

    AES-128

    DH Algorithm

    Algoritmo de intercambio de claves Diffie-Hellman. Se admiten los siguientes algoritmos:

    • Grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • Grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • Group 14

    El valor predeterminado es Group 14.

    Group 14

    Version

    Versión del protocolo de IKE. El valor puede ser uno de los siguientes:

    • v1 (no recomendado debido a riesgos de seguridad)
    • v2

    El valor predeterminado es v2.

    v2

    Lifetime (s)

    Duración de una SA, en segundos

    Una SA se renegociará cuando expire su vida útil.

    El valor predeterminado es 86400.

    86400

    Negotiation Mode

    Este parámetro solo está disponible cuando Version está establecido en v1. Puede establecer Negotiation Mode en Main o Aggressive.

    El modo predeterminado es Main.

    Main

    Tabla 3 Política de IPsec

    Parámetro

    Descripción

    Valor de ejemplo

    Authentication Algorithm

    Algoritmo de hash utilizado para la autenticación. Se admiten los siguientes algoritmos:

    • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    El algoritmo predeterminado es SHA2-256.

    SHA2-256

    Encryption Algorithm

    Algoritmo de encriptación. Se admiten los siguientes algoritmos:

    • AES-128
    • AES-192
    • AES-256
    • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)

    El algoritmo predeterminado es AES-128.

    AES-128

    PFS

    Algoritmo utilizado por la función Perfect forward secrecy (PFS).

    PFS admite los siguientes algoritmos:

    • DH grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • DH grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • DH group 14

    El algoritmo predeterminado es DH group 14.

    DH group 14

    Transfer Protocol

    Protocolo de seguridad utilizado en IPsec para transmitir y encapsular datos de usuario. Se admiten los siguientes protocolos:

    • AH
    • AH-ESP

    El protocolo predeterminado es ESP.

    ESP

    Lifetime (s)

    Duración de una SA, en segundos

    Una SA se renegociará cuando expire su vida útil.

    El valor predeterminado es 3600.

    3600

    Una política de IKE especifica los algoritmos de encriptación y autenticación que se utilizarán en la fase de negociación de un túnel IPsec. Una política de IPsec especifica el protocolo, el algoritmo de encriptación y el algoritmo de autenticación que se utilizarán en la fase de transmisión de datos de un túnel de IPsec. Las políticas de IKE y de IPsec deben ser las mismas en ambos extremos de una conexión de VPN. Si son diferentes, la conexión de VPN no se puede configurar.

    No se recomiendan los siguientes algoritmos porque no son lo suficientemente seguros:

    • Algoritmos de autenticación: SHA1 y MD5
    • Algoritmo de cifrado: 3DES
    • Algoritmos de DH: Grupo 1, Grupo 2 y Grupo 5
  6. Envíe su solicitud.

    Después de crear la VPN IPsec, se asigna una dirección IP pública a la VPN. La dirección IP es la dirección de gateway local de la VPN creada. Al configurar el túnel remoto en su centro de datos, debe establecer la dirección de gateway remota en esta dirección IP.

  7. Necesita configurar un túnel VPN IPsec en el router o firewall en su centro de datos local.