更新时间:2024-11-07 GMT+08:00

操作步骤

前提条件

  • 云侧
    • 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网
    • 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则
    • 如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。
  • 数据中心侧
    • 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南

操作步骤

华为云VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。

  1. 登录管理控制台。
  2. 选择网络 > 虚拟专用网络
  3. 配置VPN网关。

    1. 选择“虚拟专用网络 > 企业版-VPN网关”,单击“创建VPN网关”。
    2. 根据界面提示配置参数。

      VPN网关参数说明如表1所示。

      表1 VPN网关参数说明

      参数

      说明

      取值参数

      名称

      VPN网关的名称。

      vpngw-001

      网络类型

      选择“公网”。

      公网

      关联模式

      选择“虚拟私有云”。

      关联ER场景时,请选择“企业路由器”。

      虚拟私有云

      企业路由器

      仅关联场景为“企业路由器”时需要选择。

      er-001

      虚拟私有云

      选择用于分配互联子网的VPC。

      关联场景为“企业路由器”时,该VPC可以对接ER,也可以不对接ER。

      vpc-001(192.168.0.0/16)

      互联子网

      用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。

      192.168.2.0/24

      本端子网

      仅关联场景为“虚拟私有云”时需要配置。

      • 输入网段

        输入需要和用户数据中心通信的子网,该子网可以在关联VPC内,也可以不在关联VPC内。

      • 选择子网

        选择关联VPC内的子网信息,用于和用户数据中心通信。

      192.168.0.0/24,192.168.1.0/24

      BGP ASN

      BGP自治系统编号。

      64512

      HA模式

      选择“双活”

      双活

      主EIP

      VPN网关和用户数据中心通信的公网IP1。

      1.1.1.2

      主EIP2

      VPN网关和用户数据中心通信的公网IP2。

      2.2.2.2

  4. 配置对端网关。

    1. 选择“虚拟专用网络 > 企业版-对端网关”,单击“创建对端网关”。
    2. 根据界面提示配置参数。

      对端网关参数说明如表2所示。

      表2 对端网关参数说明

      参数

      说明

      取值参数

      名称

      对端网关的名称。

      cgw-fw

      路由模式

      选择“静态路由”。

      静态路由

      网关IP

      对端网关和华为云VPN网关通信的IP地址。

      请确认数据中心的对端网关已经放通UDP端口4500。

      1.1.1.1

  5. 配置VPN连接。

    1. 选择“虚拟专用网络 > 企业版-VPN连接”,单击“创建VPN连接”。
    2. 配置第一条VPN连接参数,单击“提交”。

      VPN连接参数说明如表3所示。

      表3 第一条VPN连接参数说明

      参数

      说明

      取值参数

      名称

      VPN连接的名称。

      vpn-001

      VPN网关

      选择VPN网关。

      vpngw-001

      网关IP

      选择VPN网关已绑定的主EIP。

      1.1.1.2

      对端网关

      选择对端网关。

      cgw-fw

      连接模式

      选择“静态路由模式”。

      静态路由模式

      对端子网

      用户数据中心中需要和华为云VPC通信的子网。

      • 对端子网与本端子网可以重叠,不能重合;对端子网不能被本网关关联的VPC内已有子网所包含。
      • 部分网段是VPC预留网段,不能作为对端子网,例如:100.64.0.0/10,214.0.0.0/8。

      172.16.0.0/16

      接口分配方式

      • 手动分配

        本示例以“手动分配”为例。

      • 自动分配

      手动分配

      本端隧道接口地址

      配置在VPN网关上的tunnel接口地址。

      169.254.70.1

      对端隧道接口地址

      配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。

      169.254.70.2

      检测机制

      用于多链路场景下路由可靠性检测,通过ICMP报文检测实现;使能NQA,您的对端设备需要允许ICMP响应请求。

      勾选“使能NQA”

      预共享密钥、确认密钥

      和对端网关的预共享密钥需要保持一致。

      Test@123

      策略配置

      和对端网关的策略配置需要保持一致。

      保持默认

    3. 配置第二条VPN连接参数。

      此处仅对和第一条VPN连接配置不同的参数,未提及参数建议和第一条VPN连接配置保持一致。

      表4 第二条VPN连接参数说明

      参数

      说明

      取值参数

      名称

      VPN连接的名称。

      vpn-002

      网关IP

      选择VPN网关已绑定的主EIP2。

      2.2.2.2

      本端隧道接口地址

      VPN网关的Tunnel隧道IP地址。

      169.254.71.1

      对端隧道接口地址

      对端网关的Tunnel隧道IP地址。

      169.254.71.2

  6. 配置对端网关信息。

    根据对端网关类型不同,配置操作可能存在差异。详细配置方法,请参见管理员指南

结果验证

  • 大约5分钟后,查看VPN连接状态。

    选择“虚拟专用网络 > 企业版-VPN连接”,两条VPN连接状态显示为正常。

  • 用户数据中心内服务器和华为云VPC子网内服务器可以相互Ping通。