步骤三:创建VPN连接
操作步骤
- 在左侧导航栏,选择。
- 在“VPN连接”页面,单击“创建VPN连接”。
- 根据界面提示配置VPN连接参数,单击“立即购买”。
本示例仅对关键参数进行说明,详细参数说明请参见创建VPN连接。
表1 VPN连接参数说明 参数
说明
参数取值
名称
输入VPN连接的名称。
vpn-001
VPN网关
选择步骤一:创建VPN网关创建的VPN网关。
vpngw-001
连接1网关IP
VPN网关的主EIP。
11.xx.xx.11
连接1对端网关
选择连接1对端网关。
cgw-001
连接2网关IP
VPN网关的主EIP2。
11.xx.xx.12
连接2对端网关
选择连接2对端网关。
cgw-001
连接模式
选择“静态路由模式”。
静态路由模式
对端子网
输入数据中心待和VPC互通的子网。
说明:- 对端子网可以和本端子网重叠,但不能重合。
- 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。
- 对端子网不能是VPC的预留网段,例如100.64.0.0/10、100.64.0.0/12、214.0.0.0/8。不同region的预留网段不同,实际使用以控制台显示为准。
如果需要使用100.64.0.0/10或100.64.0.0/12,请提交工单申请。
- 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。
- VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
- 当“关联模式”采用“企业路由器”,“连接模式”采用“BGP路由模式”、“策略模板模式”和“策略模式”时,无需配置对端子网。
172.16.0.0/16
连接1配置
配置连接1网关IP的接口地址分配方式、本端隧道接口地址、对端隧道接口地址、检测机制、预共享密钥、确认密钥和策略配置等。
请根据实际设置
接口地址分配方式
支持“手动分配”和“自动分配”两种方式。
手动分配
本端隧道接口地址
配置在VPN网关上的tunnel接口地址。
说明:对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。
169.254.70.2/30
对端隧道接口地址
配置在用户侧设备上的tunnel接口地址。
169.254.70.1/30
检测机制
用于多链路场景下路由可靠性检测。
说明:功能开启前,请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则会导致VPN流量不通。
勾选“使能NQA”
预共享密钥、确认密钥
VPN连接协商密钥。
VPN连接和对端网关配置的预共享密钥需要一致。
Test@123
策略配置
包含IKE策略和IPsec策略,用于指定VPN隧道加密算法。
VPN连接和对端网关配置的策略信息需要一致。
默认配置
连接2配置
选择是否“与连接1保持一致”。
关闭
本端隧道接口地址
配置在VPN网关上的tunnel接口地址。
169.254.71.2/30
对端隧道接口地址
配置在用户侧设备上的tunnel接口地址。
169.254.71.1/30
结果验证
在“VPN连接”页面生成新创建的VPN连接信息,初始状态为“创建中”;由于此时对端网关尚未配置,无法建立有效的连接,所以大约2分钟后,VPN连接状态会变成“未连接”。
