Criação de uma conexão de VPN

Cenários

Para conectar seu data center ou rede privada local aos ECSs em uma VPC, você precisa criar conexões de VPN depois de criar um gateway de VPN.

Procedimento

1. Acesse o console de gerenciamento.
2. Clique em no canto superior esquerdo e selecione a região e o projeto desejados.
3. Clique em Service List e escolha Networking > Virtual Private Network.
4. No painel de navegação à esquerda, escolha Virtual Private Network > VPN Connections.
5. Na página VPN Connections, clique em Buy VPN Connection.
   

   Para maior confiabilidade, é recomendável criar uma conexão de VPN entre cada um dos EIPs ativos e em espera de um gateway de VPN da Huawei Cloud e o endereço IP de um gateway de cliente.

6. Defina os parâmetros conforme solicitado e clique em Next.
   Tabela 1 lista os parâmetros de conexão de VPN.

   Tabela 1 Descrição dos parâmetros de conexão de VPN

   Parâmetro	Descrição	Exemplo de valor
   Name	Nome de uma conexão de VPN.	vpn-001
   VPN Gateway	Nome do gateway VPN para o qual a conexão VPN é criada. Você também pode clicar em Create VPN Gateway para criar um gateway de VPN. Para obter detalhes sobre os parâmetros relacionados, consulte Tabela 2.	vpngw-001
   Gateway IP Address	EIP ativo ou em espera vinculado ao gateway de VPN. O mesmo EIP de um gateway de VPN não pode ser selecionado repetidamente quando você cria conexões VPN entre o gateway de VPN e o mesmo gateway de cliente.	EIP ativo/em espera no grupo de EIP
   Customer Gateway	Nome de um gateway de cliente. Você também pode clicar em Create Customer Gateway para criar um gateway de cliente. Para obter detalhes sobre os parâmetros relacionados, consulte Tabela 1. NOTA: Se um gateway de cliente se conectar a vários gateways de VPN, os ASNs BGP e os tipos de VPN dos gateways de VPN deverão ser os mesmos.	cgw-001
   VPN Type	Modo de conexão de IPsec, que pode ser baseado em rotas ou políticas. Static routing Determina os dados que entram no túnel de VPN IPsec com base na configuração da rota (sub-rede local e sub-rede do cliente). O protocolo BGP é suportado. Cenário de aplicação: acesso multi-site e acesso de rota em larga escala BGP routing O gateway de cliente pode anunciar um máximo de 100 rotas BGP ao gateway de VPN. Se mais de 100 rotas BGP forem anunciadas, o relacionamento de par de BGP será desconectado, causando a interrupção do tráfego entre o gateway de VPN e o gateway do cliente. Policy-based Determina os dados que entram no túnel VPN IPsec com base na política (entre a rede do cliente e a VPC). Os fluxos de dados a serem criptografados podem ser personalizados. Cenário de aplicação: acesso a um único local	Static routing
   Sub-rede do cliente	Sub-redes em seu data center local que precisam se comunicar com uma VPC por meio do gateway do cliente. Se houver várias sub-redes de clientes, separe-as com vírgulas (,). NOTA: Uma sub-rede de cliente não pode ser incluída em nenhuma sub-rede local ou em nenhuma sub-rede da VPC à qual o gateway da VPN está conectado. Não use 100.64.0.0/10 como a sub-rede do cliente. Caso contrário, serviços como Object Storage Service (OBS), DNS e gateway de API ficarão indisponíveis. Quando Associate With estiver definido como VPC para o gateway de VPN e VPN Type estiver definido como Static routing para a conexão de VPN, não defina Customer Subnet como 0.0.0.0. Caso contrário, o tráfego pode não ser encaminhado.	172.16.1.0/24,172.16.2.0/24
   Interface IP Address Assignment	Esse parâmetro está disponível somente quando o VPN Type é definido como Route-based. NOTA: Defina os endereços IP da interface para os endereços IP da interface do túnel usados pelo gateway de VPN e pelo gateway de cliente para se comunicarem entre si. Se o endereço da interface do túnel do gateway de cliente for fixo, selecione Manually specify e defina o endereço da interface do túnel do gateway deVPN com base no endereço da interface do túnel do gateway do cliente. Manually specify Defina o Local Interface IP Address como o endereço da interface do túnel do gateway de VPN, que pode residir apenas no bloco CIDR 169.254.x.x/30 (exceto 169.254.195.x/30). Em seguida, o sistema define automaticamente Customer Interface IP Address para um valor aleatório com base na configuração do Local Interface IP Address. Por exemplo, quando você define o Local Interface IP Address como 169.254.1.6/30, o sistema define automaticamente o Customer Interface IP Address como 169.254.1.5/30. Automatically assign Por padrão, um endereço IP no bloco CIDR 169.254.x.x/30 é atribuído à interface de túnel do gateway de VPN. Para exibir os endereços IP da interface local e do cliente atribuídos automaticamente, clique em Modify VPN Connection na página VPN Connections.	Automatically assign
   Endereço IP da interface local	Esse parâmetro está disponível somente quando a Interface IP Address Assignment está definida como Manually specify. Endereço IP da interface do túnel configurado no gateway de VPN.	N/D
   Customer Interface IP Address	Esse parâmetro está disponível somente quando a Interface IP Address Assignment está definida como Manually specify. Endereço IP da interface do túnel configurado no dispositivo de gateway de cliente.	N/D
   Link Detection	Este parâmetro só está disponível quando o Routing Mode está definido como Static. NOTA: Ao ativar essa função, certifique-se de que o gateway de cliente ofereça suporte a ICMP e esteja configurado corretamente com o endereço IP da interface do cliente da conexão de VPN. Caso contrário, o tráfego não será encaminhado. Depois que essa função é ativada, o gateway de VPN executa automaticamente a Análise de Qualidade da Rede (NQA) no endereço IP da interface do cliente do gateway de cliente.	Selecionado
   PSK	As PSKs configuradas para o gateway de VPN e o gateway do cliente devem ser os mesmos. A PSK: contém de 8 a 128 caracteres. Pode conter apenas três ou mais tipos dos seguintes caracteres: Dígitos Letras maiúsculas Letras minúsculas Caracteres especiais: ~ ! @ # $ % ^ ( ) - _ + = { } , . / : ;	Test@123
   Confirm PSK	Digite o PSK novamente.	Test@123
   Policy	Este parâmetro só está disponível quando o VPN Type está definido como Policy-based. Define o fluxo de dados que entra na conexão de VPN criptografada entre as sub-redes local e cliente. Você precisa configurar os blocos CIDR de origem e destino em cada regra de política. Por padrão, um máximo de cinco regras de política podem ser configuradas. Source CIDR Block O bloco CIDR de origem deve conter alguns blocos CIDR do local sub-redes. 0.0.0.0/0 indica qualquer endereço IP. Destination CIDR block O bloco CIDR de destino deve conter todos os blocos CIDR das sub-redes do cliente. Uma regra de política suporta um máximo de cinco blocos CIDR de destino, que são separados por vírgulas (,). NOTA: Quando Associate With estiver definido como VPC para o gateway de VPN e VPN Type estiver definido como Static routing para a conexão DE VPN, não defina Destination CIDR Block como 0.0.0.0. Caso contrário, o tráfego pode não ser encaminhado.	Source CIDR block 1: 192.168.1.0/24 Destination CIDR block 1: 172.16.1.0/24,172.16.2.0/24 Source CIDR block 2: 192.168.2.0/24 Destination CIDR block 2: 172.16.1.0/24,172.16.2.0/24
   Policy Settings	Default: utilizar políticas IKE e IPsec predefinidas. Custom: utilizar políticas IKE e IPsec personalizadas. Para obter detalhes sobre as políticas, consulte Tabela 2 e Tabela 3.	Custom

   Tabela 2 Política IKE

   Parâmetro	Descrição	Exemplo de valor
   Authentication Algorithm	Algoritmo de hash usado para autenticação. Os seguintes algoritmos são suportados: SHA1 (não recomendado devido a riscos de segurança) MD5 (não recomendado devido a riscos de segurança) SHA2-256 SHA2-384 SHA2-512 O valor padrão é SHA2-256.	SHA2-256
   Encryption Algorithm	Algoritmo de encritação. Os seguintes algoritmos são suportados: AES-128 AES-256 AES-192 3DES (não recomendado devido a riscos de segurança) AES-256-GCM-16 Quando este algoritmo de encritação é utilizado, a versão IKE só pode ser v2. O valor padrão é AES-128.	AES-128
   DH Algorithm	Os seguintes algoritmos são suportados: Group 1 (não recomendado devido a riscos de segurança) Group 2 (não recomendado devido a riscos de segurança) Group 5 (não recomendado devido a riscos de segurança) Group 14 Group 15 Group 16 Group 19 Group 20 Group 21 O valor padrão é Group 14.	Group 14
   Version	Versão do protocolo IKE. O valor pode ser um dos seguintes: v1 (não recomendado devido a riscos de segurança) v2 O valor padrão é v2.	v2
   Lifetime (s)	Tempo de vida de uma associação de segurança (SA). Uma SA será renegociada quando sua vida útil expirar. Unidade: segundo O valor padrão é 86400.	86400
   Negotiation Mode	Esse parâmetro está disponível somente quando a Version é v1. Main Aggressive	Main
   Local ID	Identificador de autenticação do gateway de VPN usado na negociação de IPsec. O ID do gateway de VPN configurado no gateway de cliente deve ser o mesmo que o ID local configurado aqui. Caso contrário, a negociação IPsec falha. IP Address (valor padrão) O sistema define automaticamente esse parâmetro para o EIP selecionado do gateway de VPN. FQDN Defina o nome de domínio qualificado completo (FQDN) para uma cadeia de 6 a 16 caracteres que pode conter letras maiúsculas, minúsculas, dígitos e pontos (.).	IP Address
   Customer ID	Identificador de autenticação do gateway do cliente usado na negociação de IPsec. O ID do gateway do cliente configurado no gateway do cliente deve ser o mesmo que o ID do cliente configurado aqui. Caso contrário, a negociação IPsec falha. Endereço IP (valor padrão) O sistema define automaticamente esse parâmetro para o endereço IP do gateway do cliente. FQDN Defina o FQDN para uma cadeia de 6 a 16 caracteres que pode conter letras maiúsculas, minúsculas, dígitos e pontos (.).	IP Address

   Tabela 3 Política IPSec

   Parâmetro	Descrição	Exemplo de valor
   Authentication Algorithm	Algoritmo de hash usado para autenticação. Os seguintes algoritmos são suportados: SHA1 (não recomendado devido a riscos de segurança) MD5 (não recomendado devido a riscos de segurança) SHA2-256 SHA2-384 SHA2-512 O valor padrão é SHA2-256.	SHA2-256
   Encryption Algorithm	Algoritmo de encritação. Os seguintes algoritmos são suportados: AES-128 AES-256 AES-192 3DES (não recomendado devido a riscos de segurança) AES-256-GCM-16 O valor padrão é AES-128.	AES-128
   PFS	Algoritmo usado pela função Perfect forward secret (PFS). O PFS suporta os seguintes algoritmos: DH group 1 (não recomendado devido a riscos de segurança) DH group 2 (não recomendado devido a riscos de segurança) DH group 5 (não recomendado devido a riscos de segurança) DH group 14 DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 Disable O valor padrão é DH group 14.	DH group 14
   Transfer Protocol	Protocolo de segurança usado no IPsec para transmitir e encapsular dados do usuário. Os seguintes protocolos são suportados: ESP O valor padrão é ESP.	ESP
   Lifetime (s)	Tempo de vida de uma SA. Uma SA será renegociada quando sua vida útil expirar. Unidade: segundo O valor padrão é 3600.	3600
   Modo de encapsulamento de pacotes	O valor padrão é TUNNEL.	TUNNEL

   

   Uma política IKE especifica os algoritmos de encritação e autenticação a utilizar na fase de negociação de um túnel IPsec. Uma política IPsec especifica o protocolo, o algoritmo de encritação e o algoritmo de autenticação a utilizar na fase de transmissão de dados de um túnel IPsec. As políticas IKE e IPsec devem ser as mesmas em ambas as extremidades de uma conexão de VPN. Se forem diferentes, a negociação de VPN falhará, interrompendo a conexão de VPN.

   Os seguintes algoritmos não são recomendados porque não são seguros o suficiente:

   • Algoritmos de autenticação: SHA1 e MD5

   • Algoritmo de encritação: 3DES

   • Algoritmos DH: Grupo 1, Grupo 2 e Grupo 5
7. Confirme a nova configuração de conexão de VPN e clique em Submit.
8. Repita as operações anteriores para criar a outra conexão de VPN.

   Para obter detalhes sobre a configuração do endereço IP, consulte Contexto.