更新时间:2024-11-29 GMT+08:00

创建对端网关

场景描述

如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,创建VPN连接之前,需要创建对端网关。

约束与限制

  • 国密型对端网关标识仅支持网关IP,且该网关IP地址值必须是静态地址。
  • FQDN类型标识的对端网关只支持策略模板模式对接。
  • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
  • 策略模板模式只支持ikev2。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在页面左上角单击图标,选择网络 > 虚拟专用网络VPN
  4. 在左侧导航栏,选择虚拟专用网络 > 企业版-对端网关
  5. “对端网关”界面,单击“创建对端网关”
  6. 根据界面提示配置参数,单击“立即创建”

    对端网关参数请参见表1

    表1 对端网关参数说明

    参数

    说明

    取值样例

    名称

    对端网关的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。

    cgw-001

    标识

    • IP Address:使用对端网关的网关IP作为IP Address。
    • FQDN:全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。

      如果对端网关无固定IP,请选择FQDN类型标识。

    请确认本地数据中心或私有网络中的防火墙规则已经放通UDP端口4500。

    • IP Address,1.2.3.4
    • FQDN,cgw-fqdn

    BGP ASN

    “标识”选择“IP Address”时需要配置。

    请输入用户数据中心或私有网络的ASN。

    对端网关的BGP ASN与VPN网关的BGP ASN不能相同。

    65000

    CA证书(可选)

    使用国密型网关时,需要上传对端网关的CA证书,用于和VPN网关建立VPN连接。

    • 上传证书:手动输入,以“-----BEGIN CERTIFICATE-----”作为开头,以“-----END CERTIFICATE-----”作为结尾。
    • 使用已上传证书:查看并勾选已上传证书,请注意证书到期时间。

    -----BEGIN CERTIFICATE-----

    CA证书

    -----END CERTIFICATE-----

    高级配置/标签

    VPN服务的资源标签,包括键和值,最大可以创建20对标签。

    标签设置时,可以选择预定义标签,也可以自定义创建。

    预定义标签可以通过单击“查看预定义标签”进行查看。

    -

  7. (可选)如果存在两个对端网关,请参见上述步骤添加另一个网关标识对应的对端网关。

相关操作

因为隧道的对称性,还需要在您数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。