Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.

Central de ajuda> Virtual Private Network> Primeiros passos> Processo de compra de VPN Clássica> Compra de uma VPN (LA-Mexico City1/LA-Sao Paulo1)

Atualizado em 2023-09-21 GMT+08:00

Ver PDF

Compra de uma VPN (LA-Mexico City1/LA-Sao Paulo1)

Visão geral

Por padrão, os ECSs em uma VPC não podem se comunicar com dispositivos no data center local ou na rede privada. Para permitir a comunicação entre eles, você pode usar uma VPN criando-a na VPC e atualizando as regras do grupo de segurança.

Topologia de VPN IPsec

Em Figura 1, a VPC tem sub-redes 192.168.1.0/24 e 192.168.2.0/24. Seu data center local tem sub-redes 192.168.3.0/24 e 192.168.4.0/24. Você pode usar a VPN para ativar as sub-redes na VPC para se comunicar com as do seu data center.

Figura 1 VPN IPsec
Clique para ampliar

A Huawei Cloud suporta VPN site a site para permitir a comunicação entre sub-redes da VPC e sub-redes locais de data center. Antes de estabelecer uma VPN IPsec, verifique se o data center local em que a VPN será estabelecida atende às seguintes condições:

Estão disponíveis dispositivos no local que suportam o protocolo IPsec padrão.
Os dispositivos locais têm endereços IP públicos fixos, que podem ser configurados estaticamente ou convertidos por NAT.
As sub-redes locais não entram em conflito com as sub-redes da VPC, e os dispositivos nas sub-redes locais podem se comunicar com os dispositivos locais.

Se as condições anteriores forem atendidas, certifique-se de que as políticas de IKE e as políticas de IPsec em ambas as extremidades sejam consistentes e as sub-redes em ambas as extremidades sejam pares correspondentes ao configurar a VPN IPsec.

Após a conclusão da configuração, a negociação de VPN precisa ser acionada por fluxos de dados da rede privada.

Cenários

Você precisa de uma VPN que configure um túnel de comunicações seguro e isolado entre seu data center local e os serviços em nuvem.

Pré-requisitos

Uma VPC foi criada. Para obter detalhes sobre como criar uma VPC, consulte Criação de uma VPC e sub-rede.
As regras de grupo de segurança foram configuradas para a VPC, e os ECSs podem se comunicar com outros dispositivos na nuvem. Para obter detalhes sobre como configurar regras de grupo de segurança, consulte Regras de grupo de segurança.

Procedimento

Faça logon no console de gerenciamento.
Clique em no canto superior esquerdo e selecione a região e o projeto desejados.
Clique em Service List e escolha Networking > Virtual Private Network.
Na página Virtual Private Network, clique em Buy VPN.

Configure os parâmetros necessários e clique em Next.

Tabela 1, Tabela 2 e Tabela 3 lista os parâmetros e suas descrições.

**Tabela 1** Parâmetros básicos
Parâmetro	Descrição	Exemplo de valor
Region	As regiões são áreas geográficas fisicamente isoladas umas das outras. As redes dentro de diferentes regiões não estão conectadas umas às outras, portanto, os recursos não podem ser compartilhados entre regiões. Para baixa latência de rede e rápido acesso a recursos, selecione a região mais próxima de seus usuários-alvo.	AP-Singapore
Billing Mode	As VPNs são cobradas em uma base de pagamento por uso.	Pay-per-use
Name	O nome da VPN	VPN-001
VPC	O nome da VPC	VPC-001
Local Subnet	Sub-redes da VPC que acessarão sua rede local por meio de uma VPN.	192.168.1.0/24, 192.168.2.0/24
Remote Gateway	O endereço IP público do gateway em seu data center ou na rede privada. Esse endereço IP é usado para se comunicar com sua VPC.	N/A
Remote Subnet	As sub-redes da sua rede local que acessarão uma VPC por meio de uma VPN. As sub-redes locais e remotas não podem se sobrepor. As sub-redes remotas não podem se sobrepor aos blocos CIDR envolvidos nas conexões de emparelhamento de VPC existentes criadas para a VPC.	192.168.3.0/24, 192.168.4.0/24
PSK	Chave privada compartilhada por duas extremidades de uma conexão de VPN para negociação. As PSKs configuradas em ambas as extremidades da conexão de VPN devem ser as mesmas. A PSK pode conter de 1 a 128 caracteres.	Test@123
Confirm PSK	Digite a PSK novamente.	Test@123
Advanced Settings	Default: utilizar políticas de IKE e IPsec predefinidas. Custom: utilizar políticas de IKE e IPsec personalizadas. Para mais detalhes, veja Tabela 2 e Tabela 3.	Custom

**Tabela 2** IKE policy
Parâmetro	Descrição	Exemplo de valor
Authentication Algorithm	Algoritmo de hash usado para autenticação. Os seguintes algoritmos são suportados: MD5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) SHA1 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) SHA2-256 SHA2-384 SHA2-512 O algoritmo padrão é SHA2-256.	SHA2-256
Encryption Algorithm	Algoritmo de encritação. Os seguintes algoritmos são suportados: AES-128 AES-192 AES-256 3DES (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) O algoritmo padrão é AES-128.	AES-128
DH Algorithm	Algoritmo de troca de chaves Diffie-Hellman. Os seguintes algoritmos são suportados: Group 5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) Group 2 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) Group 14 O valor padrão é Group 14.	Group 14
Version	Versão do protocolo IKE. O valor pode ser um dos seguintes: v1 (não recomendado devido a riscos de segurança) v2 O valor padrão é v2.	v2
Lifetime (s)	Tempo de vida de uma Associação de segurança, em segundos Uma AS será renegociada quando sua vida útil expirar. O valor padrão é 86400.	86400
Negotiation Mode	Este parâmetro só está disponível quando Version é definida como v1. Você pode definir Negotiation Mode como Main ou Aggressive. O modo padrão é Main.	Main

**Tabela 3** IPsec policy
Parâmetro	Descrição	Exemplo de valor
Authentication Algorithm	Algoritmo de hash usado para autenticação. Os seguintes algoritmos são suportados: SHA1 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) MD5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) SHA2-256 SHA2-384 SHA2-512 O algoritmo padrão é SHA2-256.	SHA2-256
Encryption Algorithm	Algoritmo de encritação. Os seguintes algoritmos são suportados: AES-128 AES-192 AES-256 3DES (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) O algoritmo padrão é AES-128.	AES-128
PFS	Algoritmo usado pela função Perfect forward secret (PFS). PFS suporta os seguintes algoritmos: DH group 2 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) DH group 5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.) DH group 14 O algoritmo padrão é DH group 14.	DH group 14
Transfer Protocol	Protocolo de segurança usado no IPsec para transmitir e encapsular dados do usuário. Os seguintes protocolos são suportados: AH AH-ESP O protocolo padrão é ESP.	ESP
Lifetime (s)	Tempo de vida de uma Associação de segurança, em segundos Uma AS será renegociada quando sua vida útil expirar. O valor padrão é 3600.	3600

Uma política de IKE especifica os algoritmos de encritação e autenticação a utilizar na fase de negociação de um túnel de IPsec. Uma política de IPsec especifica o protocolo, o algoritmo de encritação e o algoritmo de autenticação a utilizar na fase de transmissão de dados de um túnel de IPsec. As políticas de IKE e IPsec devem ser as mesmas em ambas as extremidades de uma conexão de VPN. Se forem diferentes, a conexão de VPN não pode ser configurada.

Os seguintes algoritmos não são recomendados porque não são seguros o suficiente:

Algoritmos de autenticação: SHA1 e MD5
Algoritmo de encritação: 3DES
Algoritmos DH: Group 1, Group 2 e Group 5

Submeta a sua solicitação.
Depois que a VPN IPsec é criada, um endereço IP público é atribuído à VPN. O endereço IP é o endereço de gateway local da VPN criada. Ao configurar o túnel remoto em seu data center, você deve definir o endereço do gateway remoto para esse endereço IP.
Você precisa configurar um túnel de VPN IPsec no roteador ou firewall em seu data center local.