创建VPN连接
场景描述
如果您需要将VPC中的弹性云服务器和数据中心或私有网络连通,创建VPN网关、对端网关之后,需要继续创建VPN连接。
约束与限制
- 使用静态路由模式创建VPN连接时,使能NQA前请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。
- 使用策略模式创建VPN连接时,若添加多条策略规则,源、目的网段要避免出现重叠,以免造成数据流误匹配或IPsec隧道震荡。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 在页面左上角单击图标,选择 。
- 在左侧导航栏,选择 。
- 在“VPN连接”页面,单击“创建VPN连接”。
VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性,强烈建议配置。
- 根据界面提示配置参数,单击“立即购买”。
VPN连接参数请参见表1。
表1 VPN连接参数说明 参数
说明
取值样例
名称
VPN连接的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。
vpn-001
VPN网关
选择待关联的VPN网关名称。
您也可以单击“创建VPN网关”进行新建,相关参数解释请参见表2。
如果您使用国密型VPN网关,且VPN网关没有绑定相关证书,请先单击右侧“上传证书”完成上传证书操作,否则VPN连接将无法建立。
vpngw-001
网关IP
选择VPN网关IP。
VPN网关对接同一对端网关时,不能选择已使用过的地址。
可选的网关IP
对端网关
选择对端网关信息。
您也可以单击“创建对端网关”进行新建,相关参数解释请参见表1。
如果您使用国密型网关,且对端网关没有绑定CA证书,请先参见上传对端网关证书上传CA证书,否则VPN连接将无法建立。
说明:如果一个对端网关同时对接多个VPN网关,则VPN网关的BGP ASN和连接模式需要相同。
cgw-001
连接模式
IPsec连接的模式,支持路由模式和策略模式。
- 静态路由模式。
根据路由配置(本端子网与对端子网)确定哪些数据进入IPsec VPN隧道。
适用场景:对端网关之间要求互通。
- BGP路由模式。
适用场景:对端网关之间要求互通、互通子网数量多或变化频繁、与专线互备等组网场景。
- 策略模式。
根据策略规则(用户侧到VPC之间通信的数据流信息)确定哪些数据进入IPsec VPN隧道,支持以源网段和目的网段定义策略规则。
适用场景:对端网关之间要求隔离。
- 策略模板模式。
VPN网关被动响应对端网关的IPsec连接请求,认证对端网关后接受对端网关以源网段和目的网段定义的策略规则。
- VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
- 策略模板模式只支持ikev2。
适用场景:对端网关无固定IP地址。
静态路由模式
对端子网
指需要通过VPN连接访问云上VPC的用户侧子网。
若存在多个对端子网,请用半角逗号(,)隔开。
说明:- 对端子网可以和本端子网重叠,但不能重合。
- 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。
- 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。
- 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。
- VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
172.16.1.0/24,172.16.2.0/24
接口分配方式
仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。
说明:- 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。
- 如果对端网关的tunnel接口地址固定不可更改,请使用“手动分配”模式,并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。
- 手动分配。
- 自动分配。
- VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。
- 自动分配的本端接口地址/对端接口地址,可以在VPN连接页面,单击“修改连接信息”进行查看。
- 当“连接模式”采用“BGP路由模式”的场景下,选择“自动分配”的方式,在创建连接后,可查看分配的本端隧道接口地址和对端隧道接口地址,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。
自动分配
本端隧道接口地址
仅“接口分配方式”采用“手动分配”时需要配置。
配置在VPN网关上的tunnel接口地址。
-
对端隧道接口地址
仅“接口分配方式”采用“手动分配”时需要配置。
配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。
-
检测机制
仅“连接模式”采用“静态路由模式”时需要配置。
说明:功能开启前,请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。
功能开启后,VPN网关会自动对对端接口地址进行NQA探测。关于NQA的相关介绍,请参见华为云NQA。
勾选
预共享密钥
VPN网关和对端网关的预共享密钥需要保持一致。
取值范围:
- 取值长度:8~128个字符。
- 只能包括以下几种字符,且必须包含三种及以上类型:
- 数字。
- 大写字母。
- 小写字母。
- 特殊符号:包括“~”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“+”、“=”、“{”、“}”、","、"."、"/"、“:”和“;”。
说明:国密型VPN连接无此参数。
Test@123
确认密钥
再次输入预共享密钥。
说明:国密型VPN连接无此参数。
Test@123
策略规则
仅“连接模式”采用“策略模式”时需要配置。
用于定义本端子网到对端子网之间具体进入VPN连接加密隧道的数据流信息,由源网段与目的网段来定义。系统默认支持配置5条策略规则。
- 源网段1:192.168.1.0/24
- 目的网段1:172.16.1.0/24,172.16.2.0/24
- 源网段2:192.168.2.0/24
- 目的网段2:172.16.1.0/24,172.16.2.0/24
策略配置
自定义配置
策略模板配置
仅“连接模式”采用“策略模板模式”时需要配置。
此处不支持对策略模板进行修改,如需修改,请参见修改VPN网关策略模板中关于修改策略模板的描述。
-
标签
- VPN服务的资源标签,包括键和值,最大可以创建20对标签。
- 标签设置时,可以选择预定义标签,也可以自定义创建。
- 预定义标签可以通过单击“查看预定义标签”进行查看。
-
表3 IPsec策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:
国密型VPN连接默认配置为:SM3。
非国密型VPN连接默认配置为:SHA2-256。
SHA2-256
加密算法
加密算法,支持的算法:
- 3DES(此算法安全性较低,请慎用)。
- AES-128(此算法安全性较低,请慎用)。
- AES-192(此算法安全性较低,请慎用)。
- AES-256(此算法安全性较低,请慎用)。
- AES-128-GCM-16。
- AES-256-GCM-16。
- SM4。
国密型VPN连接默认配置为:SM4。
非国密型VPN连接默认配置为:AES-128。
AES-128
PFS
PFS(Perfect Forward Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。
PFS组支持的算法:
- Disable(此算法安全性较低,请慎用)。
- DH group 1(此算法安全性较低,请慎用)。
- DH group 2(此算法安全性较低,请慎用)。
- DH group 5(此算法安全性较低,请慎用)。
- DH group 14(此算法安全性较低,请慎用)。
- DH group 15。
- DH group 16。
- DH group 19。
- DH group 20。
- DH group 21。
默认配置为:DH group 15。
说明:- 国密型VPN连接无此参数。
- 国密型VPN网关和国密型对端网关创建VPN连接时,需要保证国密型对端网关关闭PFS功能,否则会导致VPN连接无法建立。
DH group 15
传输协议
IPsec传输和封装用户数据时使用的安全协议。目前支持的协议:
- ESP。
默认配置为:ESP。
ESP
生命周期(秒)
安全联盟(Security Association,SA)的生存时间。
在超过生存时间后,安全联盟将被重新协商。
- 单位:秒。
- 取值范围:30~604800。
- 默认配置:3600。
3600
IKE策略指定了IPsec隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致,否则会导致VPN协商失败,进而导致VPN连接建立失败。
以下算法安全性较低,请慎用:
- 认证算法:SHA1、MD5。
- 加密算法:3DES、AES-128、AES-192、AES-256。
出于部分对端设备不支持安全加密算法的考虑,VPN连接的默认加密算法仍为AES-128。在对端设备功能支持的情况下,建议使用更安全的加密算法。
- DH算法:Group 1、Group 2、Group 5、Group 14。
- 静态路由模式。
- 确认VPN连接规格,单击“提交”。
- 参见上述步骤,创建第二条VPN连接。
VPN连接的IP对应关系,请参见背景信息。
场景化对应配置案例,请参见管理员指南。