更新时间:2024-07-30 GMT+08:00

创建VPN连接

场景描述

如果您需要将VPC中的弹性云服务器和数据中心或私有网络连通,创建VPN网关、对端网关之后,需要继续创建VPN连接。

约束与限制

  • 使用静态路由模式创建VPN连接时,使能NQA前请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。
  • 使用策略模式创建VPN连接时,若添加多条策略规则,源、目的网段要避免出现重叠,以免造成数据流误匹配或IPsec隧道震荡。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在页面左上角单击图标,选择网络 > 虚拟专用网络VPN
  4. 在左侧导航栏,选择虚拟专用网络 > 企业版-VPN连接
  5. “VPN连接”页面,单击“创建VPN连接”

    VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性,强烈建议配置。

  6. 根据界面提示配置参数,单击“立即购买”
    VPN连接参数请参见表1
    表1 VPN连接参数说明

    参数

    说明

    取值样例

    名称

    VPN连接的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。

    vpn-001

    VPN网关

    选择待关联的VPN网关名称。

    您也可以单击“创建VPN网关”进行新建,相关参数解释请参见表2

    如果您使用国密型VPN网关,且VPN网关没有绑定相关证书,请先单击右侧“上传证书”完成上传证书操作,否则VPN连接将无法建立。

    vpngw-001

    网关IP

    选择VPN网关IP。

    VPN网关对接同一对端网关时,不能选择已使用过的EIP地址。

    可选的网关IP

    对端网关

    选择对端网关信息。

    您也可以单击“创建对端网关”进行新建,相关参数解释请参见表1

    如果您使用国密型网关,且对端网关没有绑定CA证书,请先参见上传对端网关证书上传CA证书,否则VPN连接将无法建立。

    说明:

    如果一个对端网关同时对接多个VPN网关,则VPN网关的BGP ASN和连接模式需要相同。

    cgw-001

    连接模式

    IPsec连接的模式,支持路由模式和策略模式。

    • 静态路由模式。

      根椐路由配置(本端子网与对端子网)确定哪些数据进入IPsec VPN隧道。

      适用场景:对端网关之间要求互通。

    • BGP路由模式。

      根据BGP动态路由确定哪些数据进入IPsec VPN隧道。

      适用场景:对端网关之间要求互通、互通子网数量多或变化频繁、与专线互备等组网场景。

    • 策略模式。

      根椐策略规则(用户侧到VPC之间通信的数据流信息)确定哪些数据进入IPsec VPN隧道,支持以源网段和目的网段定义策略规则。

      适用场景:对端网关之间要求隔离。

    • 策略模板模式。

      VPN网关被动响应对端网关的IPsec连接请求,认证对端网关后接受对端网关以源网段和目的网段定义的策略规则。

      • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
      • 策略模板模式只支持ikev2。

      适用场景:对端网关无固定IP地址。

    静态路由模式

    对端子网

    指需要通过VPN连接访问云上VPC的用户侧子网。

    若存在多个对端子网,请用半角逗号(,)隔开。

    说明:
    • 对端子网可以和本端子网重叠,但不能重合。
    • 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。
    • 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。
    • 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。
    • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。

    172.16.1.0/24,172.16.2.0/24

    接口分配方式

    “连接模式”采用“静态路由模式”“BGP路由模式”时需要配置。

    说明:
    • 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。
    • 如果对端网关的tunnel接口地址固定不可更改,请使用“手动分配”模式,并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。
    • 手动分配。
      • 仅支持在169.254.x.x/30网段(除169.254.195.x/30)范围内,配置VPN网关本端接口地址的tunnel接口地址;对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。

        例如:本端接口地址配置为169.254.1.6/30,则对端接口地址自动配置为169.254.1.5/30。

      • “连接模式”采用“BGP路由模式”的场景下,选择“手动分配”的方式配置隧道接口地址时,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。
    • 自动分配。
      • VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。
      • 自动分配的本端接口地址/对端接口地址,可以在VPN连接页面,单击“修改连接信息”进行查看。
      • “连接模式”采用“BGP路由模式”的场景下,选择“自动分配”的方式,在创建连接后,可查看分配的本端隧道接口地址和对端隧道接口地址,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。

    自动分配

    本端隧道接口地址

    “接口分配方式”采用“手动分配”时需要配置。

    配置在VPN网关上的tunnel接口地址。

    -

    对端隧道接口地址

    “接口分配方式”采用“手动分配”时需要配置。

    配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。

    -

    检测机制

    “连接模式”采用“静态路由模式”时需要配置。

    说明:

    功能开启前,请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。

    功能开启后,VPN网关会自动对对端接口地址进行NQA探测。关于NQA的相关介绍,请参见华为云NQA

    勾选

    预共享密钥

    VPN网关和对端网关的预共享密钥需要保持一致。

    取值范围:

    • 取值长度:8~128个字符。
    • 只能包括以下几种字符,且必须包含三种及以上类型:
      • 数字。
      • 大写字母。
      • 小写字母。
      • 特殊符号:包括“~”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“+”、“=”、“{”、“}”、","、"."、"/"、“:”和“;”。
    说明:

    国密型VPN连接无此参数。

    Test@123

    确认密钥

    再次输入预共享密钥。

    说明:

    国密型VPN连接无此参数。

    Test@123

    策略规则

    “连接模式”采用“策略模式”时需要配置。

    用于定义本端子网到对端子网之间具体进入VPN连接加密隧道的数据流信息,由源网段与目的网段来定义。系统默认支持配置5条策略规则。

    • 源网段。

      源网段必须包含部分本端子网。其中,0.0.0.0/0表示任意地址。

    • 目的网段。

      目的网段必须完全包含对端子网。一个策略规则最大支持5个目的网段,目的网段之间使用英文逗号(,)进行分隔。

    • 源网段1:192.168.1.0/24
    • 目的网段1:172.16.1.0/24,172.16.2.0/24
    • 源网段2:192.168.2.0/24
    • 目的网段2:172.16.1.0/24,172.16.2.0/24

    高级配置

    • 默认配置。
    • 自定义配置:自定义配置IKE策略和IPsec策略。相关配置说明请参见表2表3

    自定义配置

    策略模板配置

    “连接模式”采用“策略模板模式”时需要配置。

    此处不支持对策略模板进行修改,如需修改,请参见修改VPN网关策略模板中关于修改策略模板的描述。

    -

    标签

    VPN服务的标识,包括键和值,最大可以创建20对标签。

    标签设置时,可以选择预定义标签,也可以自定义创建。

    预定义标签可以通过单击“查看预定义标签”进行查看。

    -

    表2 IKE策略

    参数

    说明

    取值样例

    版本

    IKE密钥交换协议版本,支持的版本:

    • v1(v1版本安全性较低,如果用户设备支持v2版本,建议选择v2)

      建立国密型VPN连接,IKE密钥交换协议版本只能为“v1”

    • v2。

    国密型VPN连接默认配置为:v1。

    非国密型VPN连接默认配置为:v2。

    v2

    协商模式

    “版本”采用“v1”时需要配置。

    • Main。

      当使用国密型VPN网关创建VPN连接时,“协商模式”仅支持“Main”

    • Aggressive。

    Main

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)。
    • MD5(此算法安全性较低,请慎用)。
    • SHA2-256。
    • SHA2-384。
    • SHA2-512。
    • SM3。

      仅国密型VPN连接选择该认证算法,此时IKE密钥交换协议版本只能为“v1”

    国密型VPN连接默认配置为:SM3。

    非国密型VPN连接默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • 3DES(此算法安全性较低,请慎用)。
    • AES-128(此算法安全性较低,请慎用)。
    • AES-192(此算法安全性较低,请慎用)。
    • AES-256(此算法安全性较低,请慎用)。
    • AES-256-GCM-16。

      选择该加密算法时,IKE密钥交换协议版本只能为“v2”。

    • SM4。

      仅国密型VPN连接选择该加密算法,此时IKE密钥交换协议版本只能为“v1”

    国密型VPN连接默认配置为:SM4。

    非国密型VPN连接默认配置为:AES-128。

    AES-128

    DH算法

    支持的算法 :

    • Group 1(此算法安全性较低,请慎用)。
    • Group 2(此算法安全性较低,请慎用)。
    • Group 5(此算法安全性较低,请慎用)。
    • Group 14(此算法安全性较低,请慎用)。
    • Group 15。
    • Group 16。
    • Group 19。
    • Group 20。
    • Group 21。

    默认配置为:Group 15。

    说明:

    国密型VPN连接无此参数。

    Group 14

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:60~604800。
    • 默认配置为:86400。

    86400

    本端标识

    IPsec连接协商时,VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致,否则协商失败。

    • IP Address(默认)。

      系统自动读取VPN网关的EIP作为IP Address,无需用户手动配置。

    • FQDN。

      全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。

    说明:

    国密型VPN连接无此参数。

    IP Address

    对端标识

    IPsec连接协商时,对端网关的鉴权标识。在对端网关配置的对端网关标识需要和此处配置的对端标识保持一致,否则协商失败。

    • IP Address(默认)。

      系统自动读取对端网关的网关IP作为IP Address,无需用户手动配置。

    • FQDN。

      全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。

    说明:

    国密型VPN连接无此参数。

    IP Address

    表3 IPsec策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)。
    • MD5(此算法安全性较低,请慎用)。
    • SHA2-256。
    • SHA2-384。
    • SHA2-512。
    • SM3。

      仅国密型VPN连接选择该认证算法。

    国密型VPN连接默认配置为:SM3。

    非国密型VPN连接默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • 3DES(此算法安全性较低,请慎用)。
    • AES-128(此算法安全性较低,请慎用)。
    • AES-192(此算法安全性较低,请慎用)。
    • AES-256(此算法安全性较低,请慎用)。
    • AES-128-GCM-16。
    • AES-256-GCM-16。
    • SM4。

      仅国密型VPN连接选择该加密算法。

    国密型VPN连接默认配置为:SM4。

    非国密型VPN连接默认配置为:AES-128。

    AES-128

    PFS

    PFS(Perfect Forward Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。

    PFS组支持的算法:

    • Disable(此算法安全性较低,请慎用)。
    • DH group 1(此算法安全性较低,请慎用)。
    • DH group 2(此算法安全性较低,请慎用)。
    • DH group 5(此算法安全性较低,请慎用)。
    • DH group 14(此算法安全性较低,请慎用)。
    • DH group 15。
    • DH group 16。
    • DH group 19。
    • DH group 20。
    • DH group 21。

    默认配置为:DH group 15。

    说明:
    • 国密型VPN连接无此参数。
    • 国密型VPN网关和国密型对端网关创建VPN连接时,需要保证国密型对端网关关闭PFS功能,否则会导致VPN连接无法建立。

    DH group 15

    传输协议

    IPsec传输和封装用户数据时使用的安全协议。目前支持的协议:

    • ESP。

    默认配置为:ESP。

    ESP

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:30~604800。
    • 默认配置:3600。

    3600

    报文封装模式

    默认设置为隧道(TUNNEL)模式。

    TUNNEL

    IKE策略指定了IPsec隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致,否则会导致VPN协商失败,进而导致VPN连接建立失败。

    以下算法安全性较低,请慎用:

    • 认证算法:SHA1、MD5。
    • 加密算法:3DES、AES-128、AES-192、AES-256。

      出于部分对端设备不支持安全加密算法的考虑,VPN连接的默认加密算法仍为AES-128。在对端设备功能支持的情况下,建议使用更安全的加密算法。

    • DH算法:Group 1、Group 2、Group 5、Group 14。
  7. 确认VPN连接规格,单击“提交”。
  8. 参见上述步骤,创建第二条VPN连接。

    VPN连接的IP对应关系,请参见背景信息

    场景化对应配置案例,请参见管理员指南