更新时间:2024-12-02 GMT+08:00

创建VPN连接

场景描述

如果您需要将VPC中的弹性云服务器和数据中心或私有网络连通,创建VPN网关、对端网关之后,需要继续创建VPN连接。

约束与限制

  • 使用静态路由模式创建VPN连接时,使能NQA前请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。
  • 使用策略模式创建VPN连接时,若添加多条策略规则,源、目的网段要避免出现重叠,以免造成数据流误匹配或IPsec隧道震荡。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在页面左上角单击图标,选择网络 > 虚拟专用网络VPN
  4. 在左侧导航栏,选择虚拟专用网络 > 企业版-VPN连接
  5. “VPN连接”页面,单击“创建VPN连接”

    VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性,强烈建议配置。

  6. 根据界面提示配置参数,单击“立即购买”
    VPN连接参数请参见表1
    表1 VPN连接参数说明

    参数

    说明

    取值样例

    名称

    VPN连接的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。

    vpn-001

    VPN网关

    选择待关联的VPN网关名称。

    您也可以单击“创建VPN网关”进行新建,相关参数解释请参见表2

    如果您使用国密型VPN网关,且VPN网关没有绑定相关证书,请先单击右侧“上传证书”完成上传证书操作,否则VPN连接将无法建立。

    vpngw-001

    网关IP

    选择VPN网关IP。

    VPN网关对接同一对端网关时,不能选择已使用过的地址。

    可选的网关IP

    对端网关

    选择对端网关信息。

    您也可以单击“创建对端网关”进行新建,相关参数解释请参见表1

    如果您使用国密型网关,且对端网关没有绑定CA证书,请先参见上传对端网关证书上传CA证书,否则VPN连接将无法建立。

    说明:

    如果一个对端网关同时对接多个VPN网关,则VPN网关的BGP ASN和连接模式需要相同。

    cgw-001

    连接模式

    IPsec连接的模式,支持路由模式和策略模式。

    • 静态路由模式。

      根据路由配置(本端子网与对端子网)确定哪些数据进入IPsec VPN隧道。

      适用场景:对端网关之间要求互通。

    • BGP路由模式。

      根据BGP动态路由确定哪些数据进入IPsec VPN隧道。

      适用场景:对端网关之间要求互通、互通子网数量多或变化频繁、与专线互备等组网场景。

    • 策略模式。

      根据策略规则(用户侧到VPC之间通信的数据流信息)确定哪些数据进入IPsec VPN隧道,支持以源网段和目的网段定义策略规则。

      适用场景:对端网关之间要求隔离。

    • 策略模板模式。

      VPN网关被动响应对端网关的IPsec连接请求,认证对端网关后接受对端网关以源网段和目的网段定义的策略规则。

      • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
      • 策略模板模式只支持ikev2。

      适用场景:对端网关无固定IP地址。

    静态路由模式

    对端子网

    指需要通过VPN连接访问云上VPC的用户侧子网。

    若存在多个对端子网,请用半角逗号(,)隔开。

    说明:
    • 对端子网可以和本端子网重叠,但不能重合。
    • 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。
    • 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。
    • 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。
    • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。

    172.16.1.0/24,172.16.2.0/24

    接口分配方式

    “连接模式”采用“静态路由模式”“BGP路由模式”时需要配置。

    说明:
    • 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。
    • 如果对端网关的tunnel接口地址固定不可更改,请使用“手动分配”模式,并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。
    • 手动分配。
      • 仅支持在169.254.x.x/30网段(除169.254.195.x/30)范围内,配置VPN网关本端接口地址的tunnel接口地址;对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。

        例如:本端接口地址配置为169.254.1.6/30,则对端接口地址自动配置为169.254.1.5/30。

      • “连接模式”采用“BGP路由模式”的场景下,选择“手动分配”的方式配置隧道接口地址时,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。
    • 自动分配。
      • VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。
      • 自动分配的本端接口地址/对端接口地址,可以在VPN连接页面,单击“修改连接信息”进行查看。
      • “连接模式”采用“BGP路由模式”的场景下,选择“自动分配”的方式,在创建连接后,可查看分配的本端隧道接口地址和对端隧道接口地址,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。

    自动分配

    本端隧道接口地址

    “接口分配方式”采用“手动分配”时需要配置。

    配置在VPN网关上的tunnel接口地址。

    -

    对端隧道接口地址

    “接口分配方式”采用“手动分配”时需要配置。

    配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。

    -

    检测机制

    “连接模式”采用“静态路由模式”时需要配置。

    说明:

    功能开启前,请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。

    功能开启后,VPN网关会自动对对端接口地址进行NQA探测。关于NQA的相关介绍,请参见华为云NQA

    勾选

    预共享密钥

    VPN网关和对端网关的预共享密钥需要保持一致。

    取值范围:

    • 取值长度:8~128个字符。
    • 只能包括以下几种字符,且必须包含三种及以上类型:
      • 数字。
      • 大写字母。
      • 小写字母。
      • 特殊符号:包括“~”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“+”、“=”、“{”、“}”、","、"."、"/"、“:”和“;”。
    说明:

    国密型VPN连接无此参数。

    Test@123

    确认密钥

    再次输入预共享密钥。

    说明:

    国密型VPN连接无此参数。

    Test@123

    策略规则

    “连接模式”采用“策略模式”时需要配置。

    用于定义本端子网到对端子网之间具体进入VPN连接加密隧道的数据流信息,由源网段与目的网段来定义。系统默认支持配置5条策略规则。

    • 源网段。

      源网段必须包含部分本端子网。其中,0.0.0.0/0表示任意地址。

    • 目的网段。

      目的网段必须完全包含对端子网。一个策略规则最大支持5个目的网段,目的网段之间使用英文逗号(,)进行分隔。

    • 源网段1:192.168.1.0/24
    • 目的网段1:172.16.1.0/24,172.16.2.0/24
    • 源网段2:192.168.2.0/24
    • 目的网段2:172.16.1.0/24,172.16.2.0/24

    策略配置

    • 默认配置。
    • 自定义配置:自定义配置IKE策略和IPsec策略。相关配置说明请参见表2表3

    自定义配置

    策略模板配置

    “连接模式”采用“策略模板模式”时需要配置。

    此处不支持对策略模板进行修改,如需修改,请参见修改VPN网关策略模板中关于修改策略模板的描述。

    -

    标签

    • VPN服务的资源标签,包括键和值,最大可以创建20对标签。
    • 标签设置时,可以选择预定义标签,也可以自定义创建。
    • 预定义标签可以通过单击“查看预定义标签”进行查看。

    -

    表2 IKE策略

    参数

    说明

    取值样例

    版本

    IKE密钥交换协议版本,支持的版本:

    • v1(v1版本安全性较低,如果用户设备支持v2版本,建议选择v2)

      建立国密型VPN连接,IKE密钥交换协议版本只能为“v1”

    • v2。

    国密型VPN连接默认配置为:v1。

    非国密型VPN连接默认配置为:v2。

    v2

    协商模式

    “版本”采用“v1”时需要配置。

    • Main。

      当使用国密型VPN网关创建VPN连接时,“协商模式”仅支持“Main”

    • Aggressive。

    Main

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)。
    • MD5(此算法安全性较低,请慎用)。
    • SHA2-256。
    • SHA2-384。
    • SHA2-512。
    • SM3。

      仅国密型VPN连接选择该认证算法,此时IKE密钥交换协议版本只能为“v1”

    国密型VPN连接默认配置为:SM3。

    非国密型VPN连接默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • 3DES(此算法安全性较低,请慎用)。
    • AES-128(此算法安全性较低,请慎用)。
    • AES-192(此算法安全性较低,请慎用)。
    • AES-256(此算法安全性较低,请慎用)。
    • AES-128-GCM-16。
    • AES-256-GCM-16。

      选择该加密算法时,IKE密钥交换协议版本只能为“v2”。

    • SM4。

      仅国密型VPN连接选择该加密算法,此时IKE密钥交换协议版本只能为“v1”

    国密型VPN连接默认配置为:SM4。

    非国密型VPN连接默认配置为:AES-128。

    AES-128

    DH算法

    支持的算法 :

    • Group 1(此算法安全性较低,请慎用)。
    • Group 2(此算法安全性较低,请慎用)。
    • Group 5(此算法安全性较低,请慎用)。
    • Group 14(此算法安全性较低,请慎用)。
    • Group 15。
    • Group 16。
    • Group 19。
    • Group 20。
    • Group 21。

    默认配置为:Group 15。

    说明:

    国密型VPN连接无此参数。

    Group 15

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:60~604800。
    • 默认配置为:86400。

    86400

    本端标识

    IPsec连接协商时,VPN网关的鉴权标识。对端网关配置的对端标识需与此处配置的本端标识保持一致,否则协商失败。

    • IP Address(默认)。

      系统自动读取VPN网关的EIP作为IP Address,无需用户手动配置。

    • FQDN。

      全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。

    说明:

    国密型VPN连接无此参数。

    IP Address

    对端标识

    IPsec连接协商时,对端网关的鉴权标识。在VPN网关配置的对端标识需与对端网关的本端标识保持一致,否则协商失败。

    • IP Address(默认)。

      系统自动读取对端网关的网关IP作为IP Address,无需用户手动配置。

    • FQDN。

      全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。

    说明:

    国密型VPN连接无此参数。

    IP Address

    表3 IPsec策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)。
    • MD5(此算法安全性较低,请慎用)。
    • SHA2-256。
    • SHA2-384。
    • SHA2-512。
    • SM3。

      仅国密型VPN连接选择该认证算法。

    国密型VPN连接默认配置为:SM3。

    非国密型VPN连接默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • 3DES(此算法安全性较低,请慎用)。
    • AES-128(此算法安全性较低,请慎用)。
    • AES-192(此算法安全性较低,请慎用)。
    • AES-256(此算法安全性较低,请慎用)。
    • AES-128-GCM-16。
    • AES-256-GCM-16。
    • SM4。

      仅国密型VPN连接选择该加密算法。

    国密型VPN连接默认配置为:SM4。

    非国密型VPN连接默认配置为:AES-128。

    AES-128

    PFS

    PFS(Perfect Forward Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。

    PFS组支持的算法:

    • Disable(此算法安全性较低,请慎用)。
    • DH group 1(此算法安全性较低,请慎用)。
    • DH group 2(此算法安全性较低,请慎用)。
    • DH group 5(此算法安全性较低,请慎用)。
    • DH group 14(此算法安全性较低,请慎用)。
    • DH group 15。
    • DH group 16。
    • DH group 19。
    • DH group 20。
    • DH group 21。

    默认配置为:DH group 15。

    说明:
    • 国密型VPN连接无此参数。
    • 国密型VPN网关和国密型对端网关创建VPN连接时,需要保证国密型对端网关关闭PFS功能,否则会导致VPN连接无法建立。

    DH group 15

    传输协议

    IPsec传输和封装用户数据时使用的安全协议。目前支持的协议:

    • ESP。

    默认配置为:ESP。

    ESP

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:30~604800。
    • 默认配置:3600。

    3600

    IKE策略指定了IPsec隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致,否则会导致VPN协商失败,进而导致VPN连接建立失败。

    以下算法安全性较低,请慎用:

    • 认证算法:SHA1、MD5。
    • 加密算法:3DES、AES-128、AES-192、AES-256。

      出于部分对端设备不支持安全加密算法的考虑,VPN连接的默认加密算法仍为AES-128。在对端设备功能支持的情况下,建议使用更安全的加密算法。

    • DH算法:Group 1、Group 2、Group 5、Group 14。
  7. 确认VPN连接规格,单击“提交”。
  8. 参见上述步骤,创建第二条VPN连接。

    VPN连接的IP对应关系,请参见背景信息

    场景化对应配置案例,请参见管理员指南