更新时间:2024-12-20 GMT+08:00
创建对端网关
场景描述
如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN连接之前,需要创建对端网关。
约束与限制
- 国密型对端网关标识仅支持网关IP,且该网关IP地址值必须是静态地址。
- FQDN类型标识的对端网关只支持策略模板模式对接。
- VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
- 策略模板模式只支持ikev2。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 在页面左上角单击图标,选择 。
- 在左侧导航栏,选择 。
- 在“对端网关”界面,单击“创建对端网关”。
- 根据界面提示配置参数,单击“立即创建”。
对端网关参数请参见表1。
表1 对端网关参数说明 参数
说明
取值样例
名称
对端网关的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。
cgw-001
路由模式
对端网关的网络路由模式。
- VPN连接模式使用BGP路由模式时,请选择“动态BGP”。
- 配置BGP路由模式前,请确认对端网关支持动态BGP功能。
- 该场景下对端网关最大支持发布100条BGP路由给VPN网关,否则会导致BGP邻居断连,进而导致VPN网关和对端网关之间的流量不通。
- VPN连接模式使用静态路由模式时,请选择“静态路由”。
- VPN连接模式使用策略模式时,建议选择“静态路由”。
静态路由
BGP ASN
仅“路由模式”选择“动态BGP”时需要配置。
请输入用户数据中心或私有网络的ASN。
对端网关的BGP ASN与VPN网关的BGP ASN不能相同。
65000
网关IP
对端网关和VPN网关通信的IP地址,该网关IP地址值必须是静态地址。
请确认数据中心或私有网络中的防火墙规则已经放通UDP端口4500。
1.2.3.4
CA证书(可选)
使用国密型网关时,需要上传对端网关的CA证书,用于和VPN网关建立VPN连接。
- 上传证书:手动输入,以“-----BEGIN CERTIFICATE-----”作为开头,以“-----END CERTIFICATE-----”作为结尾。
- 使用已上传证书:查看并勾选已上传证书,请注意证书到期时间。
-----BEGIN CERTIFICATE-----
CA证书
-----END CERTIFICATE-----
- VPN连接模式使用BGP路由模式时,请选择“动态BGP”。
- (可选)如果存在两个对端网关,请参见上述步骤添加另一个网关标识对应的对端网关。
相关操作
因为隧道的对称性,还需要在您数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。
父主题: 企业版对端网关管理