更新时间:2024-12-20 GMT+08:00

创建对端网关

场景描述

如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN连接之前,需要创建对端网关。

约束与限制

  • 国密型对端网关标识仅支持网关IP,且该网关IP地址值必须是静态地址。
  • FQDN类型标识的对端网关只支持策略模板模式对接。
  • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
  • 策略模板模式只支持ikev2。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在页面左上角单击图标,选择网络 > 虚拟专用网络VPN
  4. 在左侧导航栏,选择虚拟专用网络 > 企业版-对端网关
  5. “对端网关”界面,单击“创建对端网关”
  6. 根据界面提示配置参数,单击“立即创建”

    对端网关参数请参见表1

    表1 对端网关参数说明

    参数

    说明

    取值样例

    名称

    对端网关的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。

    cgw-001

    路由模式

    对端网关的网络路由模式。

    • VPN连接模式使用BGP路由模式时,请选择“动态BGP”
      • 配置BGP路由模式前,请确认对端网关支持动态BGP功能。
      • 该场景下对端网关最大支持发布100条BGP路由给VPN网关,否则会导致BGP邻居断连,进而导致VPN网关和对端网关之间的流量不通。
    • VPN连接模式使用静态路由模式时,请选择“静态路由”
    • VPN连接模式使用策略模式时,建议选择“静态路由”

    静态路由

    BGP ASN

    “路由模式”选择“动态BGP”时需要配置。

    请输入用户数据中心或私有网络的ASN。

    对端网关的BGP ASN与VPN网关的BGP ASN不能相同。

    65000

    网关IP

    对端网关和VPN网关通信的IP地址,该网关IP地址值必须是静态地址。

    请确认数据中心或私有网络中的防火墙规则已经放通UDP端口4500。

    1.2.3.4

    CA证书(可选)

    使用国密型网关时,需要上传对端网关的CA证书,用于和VPN网关建立VPN连接。

    • 上传证书:手动输入,以“-----BEGIN CERTIFICATE-----”作为开头,以“-----END CERTIFICATE-----”作为结尾。
    • 使用已上传证书:查看并勾选已上传证书,请注意证书到期时间。

    -----BEGIN CERTIFICATE-----

    CA证书

    -----END CERTIFICATE-----

  7. (可选)如果存在两个对端网关,请参见上述步骤添加另一个网关标识对应的对端网关。

相关操作

因为隧道的对称性,还需要在您数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。