Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda> Virtual Private Network> Pasos iniciales> Proceso de compra de VPN clásica> Adquisición de una conexión de VPN
Actualización más reciente 2023-11-13 GMT+08:00
Ver PDF

Adquisición de una conexión de VPN

Escenarios

Para conectar su centro de datos local o red privada a sus ECS en una VPC, debe crear una conexión de VPN después de obtener un gateway de VPN.

Procedimiento

  1. Inicie sesión en la consola de gestión.
  2. Haga clic en en la esquina superior izquierda y seleccione la región y el proyecto deseados.
  3. Haga clic en Service List y elija Networking > Virtual Private Network.
  4. En el panel de navegación de la izquierda, elija Virtual Private Network > Classic – VPN Connections.

    Si Enterprise Edition VPN está disponible para la región seleccionada, elija Virtual Private Network > Classic.

  5. En la página VPN Connections, haga clic en Buy VPN Connection.
  6. Configure los parámetros como se le solicite y haga clic en Next. Tabla 1 enumera los parámetros de conexión de VPN.
    Tabla 1 Descripción de los parámetros de conexión de VPN

    Parámetro

    Descripción

    Valor de ejemplo

    Region

    Las regiones son áreas geográficas que están físicamente aisladas unas de otras. Las redes dentro de diferentes regiones no están conectadas entre sí, por lo que los recursos no se pueden compartir entre regiones. Para una baja latencia de red y un acceso rápido a los recursos, seleccione la región más cercana a los usuarios de destino.

    CN North-Beijing4

    Name

    Nombre de una conexión de VPN.

    vpn-001

    VPN Gateway

    Nombre del gateway de VPN para el que se crea la conexión de VPN.

    vpcgw-001

    Local Subnet

    Subredes de VPC que accederán a su red local con una VPN. Puede establecer la subred local a través de cualquiera de los siguientes métodos:

    • Select subnet: seleccione las subredes que necesitan acceder a su centro de datos local o red privada.
    • Specify CIDR block: Ingrese los bloques CIDR que necesitan acceder a su centro de datos local o red privada.
      NOTA:

      Los bloques CIDR de subredes locales no se pueden superponer.

    192.168.1.0/24,

    192.168.2.0/24

    Remote Gateway

    La dirección IP pública del gateway en su centro de datos o en la red privada. Esta dirección IP se utiliza para comunicarse con su VPC.

    N/A

    Remote Subnet

    Las subredes de su red local que accederán a una VPC con una VPN. Las subredes remota y local no pueden solaparse entre sí. La subred remota no puede superponerse con bloques CIDR involucrados en las existentes interconexiones de VPC, conexiones de Direct Connect o de Cloud Connect creadas para la VPC local.

    NOTA:

    Los bloques CIDR de subredes remotas no se pueden superponer.

    192.168.3.0/24,

    192.168.4.0/24

    PSK

    Clave privada compartida por dos extremos de una conexión de VPN para negociación. Las PSK configuradas en ambos extremos de la conexión de VPN deben ser las mismas.

    La PSK:

    • Contiene de 6 a 128 caracteres.
    • Solo puede contener:
      • Dígitos
      • Letras
      • Caracteres especiales: ~ ` !@ # $ % ^ ( ) - _ + = [ ] { } | \ , . / : ;

    Test@123

    Confirm PSK

    Ingrese la PSK de nuevo.

    Test@123

    Advanced Settings
    • Default: Utilice las políticas de IKE y de IPsec predeterminadas.
    • Existing: Utilice las políticas de IKE y de IPsec existentes.
    • Custom: incluye IKE Policy y IPsec Policy que especifica los algoritmos de encriptación y autenticación de un túnel de VPN. Para obtener más información sobre las políticas, consulte Tabla 2 y Tabla 3.

    Custom
    Tabla 2 Política de IKE

    Parámetro

    Descripción

    Valor de ejemplo

    Authentication Algorithm

    Algoritmo de hash utilizado para la autenticación. Se admiten los siguientes algoritmos:

    • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    El algoritmo predeterminado es SHA2-256.

    SHA2-256

    Encryption Algorithm

    Algoritmo de encriptación. Se admiten los siguientes algoritmos:

    • AES-128
    • AES-192
    • AES-256
    • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)

    El algoritmo predeterminado es AES-128.

    AES-128

    DH Algorithm

    Algoritmo de intercambio de claves Diffie-Hellman. Se admiten los siguientes algoritmos:

    • Grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • Grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • Grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • Group 14
    • Group 15
    • Group 16
    • Group 19
    • Group 20
    • Group 21

    El algoritmo predeterminado es Group 14.

    Group 14

    Version

    Versión del protocolo de IKE. El valor puede ser uno de los siguientes:

    • v1 (no recomendado debido a riesgos de seguridad)
    • v2

    El valor predeterminado es v2.

    v2

    Lifetime (s)

    Duración de una SA, en segundos

    Una SA se renegociará cuando expire su vida útil.

    El valor predeterminado es 86400.

    86400
    Tabla 3 Política de IPsec

    Parámetro

    Descripción

    Valor de ejemplo

    Authentication Algorithm

    Algoritmo de hash utilizado para la autenticación. Se admiten los siguientes algoritmos:

    • SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    El algoritmo predeterminado es SHA2-256.

    SHA2-256

    Encryption Algorithm

    Algoritmo de encriptación. Se admiten los siguientes algoritmos:

    • AES-128
    • AES-192
    • AES-256
    • 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)

    El algoritmo predeterminado es AES-128.

    AES-128

    PFS

    Algoritmo utilizado por la función Perfect forward secrecy (PFS).

    PFS admite los siguientes algoritmos:

    • DH grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • DH grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • DH grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
    • DH group 14
    • DH group 15
    • DH group 16
    • DH group 19
    • DH group 20
    • DH group 21

    El algoritmo predeterminado es DH group 14.

    DH group 14

    Transfer Protocol

    Protocolo de seguridad utilizado en IPsec para transmitir y encapsular datos de usuario. Se admiten los siguientes protocolos:

    • AH
    • ESP
    • AH-ESP

    El protocolo predeterminado es ESP.

    ESP

    Lifetime (s)

    Duración de una SA, en segundos

    Una SA se renegociará cuando expire su vida útil.

    El valor predeterminado es 3600.

    3600

    Una política de IKE especifica los algoritmos de encriptación y autenticación que se utilizarán en la fase de negociación de un túnel IPsec. Una política de IPsec especifica el protocolo, el algoritmo de encriptación y el algoritmo de autenticación que se utilizarán en la fase de transmisión de datos de un túnel de IPsec. Las políticas de IKE y de IPsec deben ser las mismas en ambos extremos de una conexión de VPN. Si son diferentes, la conexión de VPN no se puede configurar.

    No se recomiendan los siguientes algoritmos porque no son lo suficientemente seguros:

    • Algoritmos de autenticación: SHA1 y MD5
    • Algoritmo de cifrado: 3DES
    • Algoritmos de DH: Grupo 1, Grupo 2 y Grupo 5
  7. Haga clic en Submit.
  8. Necesita configurar un túnel VPN IPsec en el router o firewall en su centro de datos local.