创建VPN连接
操作场景
您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN网关后需要创建VPN连接。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 在系统首页,单击“网络 > 虚拟专用网络”。
- 在左侧导航栏选择“虚拟专用网络 > VPN连接”。
- 在“VPN连接”页面,单击“创建VPN连接”。
- 根据界面提示配置参数,并单击“立即创建”。VPN连接参数请参考表1。
表1 VPN连接参数说明 参数
说明
取值样例
区域
不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。
-
名称
VPN连接名称。
vpn-001
VPN网关
VPN连接挂载的VPN网关名称。
vpcgw-001
本端子网
本端子网指需要通过VPN访问用户本地网络的VPC子网。支持以下方式设置本端子网:
- 选择子网
- 手动输入网段
说明:
多个本端子网不支持子网网段重叠。
192.168.1.0/24,
192.168.2.0/24
远端网关
您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN互通。
-
远端子网
远端子网指需要通过VPN访问VPC的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端VPC已有的对等连接网段、专线/云连接的远端子网网段重复。
说明:多个远端子网不支持子网网段重叠。
192.168.3.0/24,
192.168.4.0/24
预共享密钥
预共享密钥(Pre Shared Key),指配置在云上VPN连接的密钥,需要与本地网络VPN设备配置的密钥一致。此密钥用于VPN连接协商。
取值范围:6~128位。
Test@123
确认密钥
再次输入预共享密钥。
Test@123
高级配置
自定义配置
表2 IKE 策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5。
默认配置为:SHA2-256。
SHA2-256
加密算法
加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(有安全风险不推荐)。
默认配置为:AES-128。
AES-128
DH算法
Diffie-Hellman密钥交换算法,支持的算法:Group 2,Group 5,Group 14。
默认配置为:Group 14。
Group 14
版本
IKE密钥交换协议版本,支持的版本:v1、v2。
默认配置为:v2。
v2
生命周期(秒)
安全联盟(SA—Security Associations)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:86400。
86400
表3 IPsec Policy策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5。
默认配置为:SHA2-256。
SHA2-256
加密算法
加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(有安全风险不推荐)
默认配置为:AES-128。
AES-128
PFS
PFS(Perfect Forward Secrecy)即完美前向安全功能,用来配置IPsec隧道协商时使用。
PFS组支持的算法:DH group 2、DH group 5、DH group 14。
默认配置为:DH group 14。
DH group 14
传输协议
IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:AH、ESP、AH-ESP。
默认配置为:ESP。
ESP
生命周期(秒)
安全联盟(SA—Security Associations)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:3600。
3600
IKE策略指定了IPsec 隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在VPC上的VPN连接和您数据中心的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
- 单击“确认申请”。
