文档首页/ 虚拟专用网络 VPN/ 用户指南 (巴黎区域)/ 入门/ 创建VPN连接
更新时间:2022-01-25 GMT+08:00
查看PDF
分享

创建VPN连接

操作场景

您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN网关后需要创建VPN连接。

操作步骤

  1. 登录管理控制台。
  2. 在系统首页,单击“网络 > 虚拟私有云”。
  3. 在左侧导航栏选择“虚拟专用网络 > VPN连接”。
  4. 在“VPN连接”页面,单击“创建VPN连接”。
  5. 根据界面提示配置参数,并单击“立即创建”。VPN连接参数请参考表1
    表1 VPN连接参数说明

    参数

    说明

    取值样例

    区域

    不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。

    -

    名称

    VPN连接名称。

    vpn-001

    VPN网关

    VPN连接挂载的VPN网关名称。

    vpcgw-001

    本端子网

    本端子网指需要通过VPN访问用户本地网络的VPC子网。支持以下方式设置本端子网:

    • 选择子网
    • 手动输入网段

    192.168.1.0/24,

    192.168.2.0/24

    远端网关

    您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN互通。在双活网关下支持输入2个远端网关IP地址。

    -

    远端子网

    远端子网指需要通过VPN访问VPC的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端VPC已有的对等连接网段、专线/云连接的远端子网网段重复。

    192.168.3.0/24,

    192.168.4.0/24

    预共享密钥

    预共享密钥(Pre Shared Key),指配置在云上VPN连接的密钥,需要与本地网络VPN设备配置的密钥一致。此密钥用于VPN连接协商。

    取值范围:6~128位。

    Test@123

    确认密钥

    再次输入预共享密钥。

    Test@123

    高级配置
    • 默认配置
    • 已有配置
    • 自定义配置:包含IKE策略和IPsec策略,用于指定VPN隧道加密算法。相关配置说明请参考表2表3

    自定义配置
    表2 IKE 策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5。

    默认配置为:SHA1。

    SHA1

    加密算法

    加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(有安全风险不推荐)。

    默认配置为:AES-128。

    AES-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:Group 2、Group 5、Group 14。

    Diffie-Hellman密钥交换算法,支持的算法:Group 1、Group 2、Group 5、Group 14、Group 15、Group 16、Group 19、Group 20、Group 21。

    默认配置为:Group 5。

    Group 5

    版本

    IKE密钥交换协议版本,支持的版本:v1、v2。

    默认配置为:v1。

    v2

    生命周期(秒)

    安全联盟(SA—Security Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:86400。

    86400

    协商模式

    选择IKE策略版本为“v1”时,可以配置协商模式,取值支持Main、Aggressive。

    默认配置为:Main

    Main
    表3 IPsec Policy策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5。

    默认配置为:SHA1。

    SHA1

    加密算法

    加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(有安全风险不推荐)

    默认配置为:AES-128。

    AES-128

    PFS

    PFS(Perfect Forward Secrecy)即完美前向安全功能,用来配置IPSec隧道协商时使用。

    PFS组支持的算法:DH group 2、DH group 5、DH group 14。

    PFS组支持的算法:DH group 1、DH group 2、DH group 5、DH group 14、DH group 15、DH group 16、DH group 19、DH group 20、DH group 21。

    默认配置为:DH group 5。

    DH group 5

    传输协议

    IPSec传输和封装用户数据时使用的安全协议,目前支持的协议:AH、ESP、AH-ESP。

    默认配置为:ESP。

    ESP

    生命周期(秒)

    安全联盟(SA—Security Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:3600。

    3600

    IKE策略指定了IPSec 隧道在协商阶段的加密和认证算法,IPSec策略指定了IPSec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在VPC上的VPN连接和您数据中心的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。

  6. 单击“提交”。
  7. 因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPSecVPN隧道配置。
父主题: 入门