Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda> Virtual Private Network> Primeiros passos> Processo de compra de VPN Clássica> Compra de uma conexão de VPN
Atualizado em 2023-09-21 GMT+08:00
Ver PDF

Compra de uma conexão de VPN

Cenários

Para conectar seu data center local ou rede privada aos ECSs em uma VPC, você precisa criar uma conexão de VPN depois que um gateway de VPN for obtido.

Procedimento

  1. Faça logon no console de gerenciamento.
  2. Clique em no canto superior esquerdo e selecione a região e o projeto desejados.
  3. Clique em Service List e escolha Networking > Virtual Private Network.
  4. No painel de navegação à esquerda, escolha Virtual Private Network > Classic – VPN Connections.

    Se a VPN de Edição Empresarial estiver disponível para a região selecionada, escolha Virtual Private Network > Classic.

  5. Na página VPN Connections, clique em Buy VPN Connection.
  6. Configure os parâmetros conforme solicitado e clique em Next. Tabela 1 lista os parâmetros de conexão de VPN.
    Tabela 1 Descrição dos parâmetros de conexão de VPN

    Parâmetro

    Descrição

    Exemplo de valor

    Region

    As regiões são áreas geográficas fisicamente isoladas umas das outras. As redes dentro de diferentes regiões não estão conectadas umas às outras, portanto, os recursos não podem ser compartilhados entre regiões. Para baixa latência de rede e rápido acesso a recursos, selecione a região mais próxima de seus usuários-alvo.

    CN North-Beijing4

    Name

    Nome de uma conexão de VPN.

    vpn-001

    VPN Gateway

    Nome do gateway de VPN para o qual a conexão de VPN é criada.

    vpcgw-001

    Local Subnet

    Sub-redes da VPC que acessarão sua rede local por meio de uma VPN. Você pode definir a sub-rede local usando um dos seguintes métodos:

    • Select subnet: selecione as sub-redes que precisam acessar seu data center local ou rede privada.
    • Specify CIDR block: insira os blocos CIDR que precisam acessar seu data center local ou rede privada.
      NOTA:

      Blocos CIDR de sub-redes locais não podem se sobrepor.

    192.168.1.0/24,

    192.168.2.0/24

    Remote Gateway

    O endereço IP público do gateway em seu data center ou na rede privada. Esse endereço IP é usado para se comunicar com sua VPC.

    N/D

    Remote Subnet

    As sub-redes da sua rede local que acessarão uma VPC por meio de uma VPN. As sub-redes locais e remotas não podem se sobrepor. A sub-rede remota não pode se sobrepor a blocos CIDR envolvidos em conexões de emparelhamento de VPC, Direct Connect ou Cloud Connect existentes criadas para a VPC local.

    NOTA:

    Blocos CIDR de sub-redes remotas não podem se sobrepor.

    192.168.3.0/24,

    192.168.4.0/24

    PSK

    Chave privada compartilhada por duas extremidades de uma conexão de VPN para negociação. As PSKs configuradas em ambas as extremidades da conexão da VPN devem ser as mesmas.

    A PSK:

    • Contém 6 a 128 caracteres.
    • Pode conter apenas:
      • Dígitos
      • Letras
      • Caracteres especiais: ~ ` ! @ # $ % ^ ( ) - _ + = [ ] { } | \ , . / : ;

    Test@123

    Confirm PSK

    Digite a PSK novamente.

    Test@123

    Advanced Settings
    • Default: utilizar políticas de IKE e IPsec predefinidas.
    • Existing: usar as políticas de IKE e IPsec existentes.
    • Custom: incluindo a IKE Policy e a IPsec Policy, que especificam os algoritmos de encriptação e autenticação de um túnel de VPN. Para obter detalhes sobre as políticas, consulte Tabela 2 e Tabela 3.

    Custom
    Tabela 2 IKE policy

    Parâmetro

    Descrição

    Exemplo de valor

    Authentication Algorithm

    Algoritmo de hash usado para autenticação. Os seguintes algoritmos são suportados:

    • MD5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • SHA1 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    O algoritmo padrão é SHA2-256.

    SHA2-256

    Encryption Algorithm

    Algoritmo de encritação. Os seguintes algoritmos são suportados:

    • AES-128
    • AES-192
    • AES-256
    • 3DES (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)

    O algoritmo padrão é AES-128.

    AES-128

    DH Algorithm

    Algoritmo de troca de chaves Diffie-Hellman. Os seguintes algoritmos são suportados:

    • Group 1 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • Group 2 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • Group 5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • Group 14
    • Group 15
    • Group 16
    • Group 19
    • Group 20
    • Group 21

    O algoritmo padrão é Group 14.

    Group 14

    Version

    Versão do protocolo IKE. O valor pode ser um dos seguintes:

    • v1 (não recomendado devido a riscos de segurança)
    • v2

    O valor padrão é v2.

    v2

    Lifetime (s)

    Tempo de vida de uma Associação de segurança, em segundos

    Uma AS será renegociada quando sua vida útil expirar.

    O valor padrão é 86400.

    86400
    Tabela 3 IPsec policy

    Parâmetro

    Descrição

    Exemplo de valor

    Authentication Algorithm

    Algoritmo de hash usado para autenticação. Os seguintes algoritmos são suportados:

    • SHA1 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • MD5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    O algoritmo padrão é SHA2-256.

    SHA2-256

    Encryption Algorithm

    Algoritmo de encritação. Os seguintes algoritmos são suportados:

    • AES-128
    • AES-192
    • AES-256
    • 3DES (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)

    O algoritmo padrão é AES-128.

    AES-128

    PFS

    Algoritmo usado pela função Perfect forward secret (PFS).

    PFS suporta os seguintes algoritmos:

    • DH group 1 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • DH group 2 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • DH group 5 (Este algoritmo é inseguro. Tenha cuidado ao usar este algoritmo.)
    • DH group 14
    • DH group 15
    • DH group 16
    • DH group 19
    • DH group 20
    • DH group 21

    O algoritmo padrão é DH group 14.

    DH group 14

    Transfer Protocol

    Protocolo de segurança usado no IPsec para transmitir e encapsular dados do usuário. Os seguintes protocolos são suportados:

    • AH
    • ESP
    • AH-ESP

    O protocolo padrão é ESP.

    ESP

    Lifetime (s)

    Tempo de vida de uma Associação de segurança, em segundos

    Uma AS será renegociada quando sua vida útil expirar.

    O valor padrão é 3600.

    3600

    Uma política de IKE especifica os algoritmos de encritação e autenticação a utilizar na fase de negociação de um túnel de IPsec. Uma política de IPsec especifica o protocolo, o algoritmo de encritação e o algoritmo de autenticação a utilizar na fase de transmissão de dados de um túnel de IPsec. As políticas de IKE e IPsec devem ser as mesmas em ambas as extremidades de uma conexão de VPN. Se forem diferentes, a conexão de VPN não pode ser configurada.

    Os seguintes algoritmos não são recomendados porque não são seguros o suficiente:

    • Algoritmos de autenticação: SHA1 e MD5
    • Algoritmo de encritação: 3DES
    • Algoritmos DH: Group 1, Group 2 e Group 5
  7. Clique em Submit.
  8. Você precisa configurar um túnel de VPN de IPsec no roteador ou firewall em seu data center local.