更新时间:2024-11-29 GMT+08:00

购买VPN(墨西哥城一/圣保罗一)

简介

默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用虚拟专用网络功能。此操作您需要在VPC中创建VPN并更新安全组规则。

简单的IPsec VPN内网对连拓扑说明

图1所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。

图1 IPsec VPN

支持点到点VPN(Site-to-Site VPN),可实现VPC子网和用户数据中心局域网互访。在建立IPsec VPN前,请确认拟开通VPN的用户数据中心满足以下3个条件:

  1. 用户数据中心有支持标准IPsec协议的设备。
  2. 上述设备可以分配独立的公网IP(NAT IP也支持)。
  3. VPC子网和用户数据中心子网不冲突,用户数据中心子网到上述设备可达。

满足以上条件后,配置IPsec VPN时,需要保证两端IKE策略以及IPsec策略配置一致,两端子网互为镜像。

配置完成后,需要通过私网数据流触发VPN协商。

操作场景

通过执行该任务,您可以创建VPN,以便在您的数据中心与云服务之间建立一条保密而安全的通信隧道。

前置条件

  • 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网
  • 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 单击服务列表,选择“网络 > 虚拟专用网络”。
  4. 在左侧导航栏选择“虚拟专用网络”。

    如果所在region已同步上线企业版VPN,请选择“虚拟专用网络 > 经典版”。

  5. 在“虚拟专用网络”界面,单击“购买VPN”。

    如果所在region已同步上线企业版VPN,在“经典版”界面,单击“购买VPN”。

  6. 根据界面提示配置参数,并单击“立即购买”。

    参数说明如表1表2表3所示。

    表1 基本参数

    参数

    说明

    取值样例

    区域

    不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。

    亚太-新加坡

    计费模式

    VPN支持按需计费。

    按需计费

    名称

    VPN名称。

    VPN-001

    VPC

    VPC的名称。

    VPC-001

    本端子网

    本端子网指需要通过VPN访问用户本地网络的VPC子网。

    192.168.1.0/24,

    192.168.2.0/24

    远端网关

    您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN互通。

    -

    远端子网

    远端子网指需要通过VPN访问VPC的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端VPC已有的对等连接网段重合。

    192.168.3.0/24,

    192.168.4.0/24

    预共享密钥

    配置在云上VPN连接的密钥,需要与本地网络VPN设备配置的密钥一致。此密钥用于VPN连接协商。

    取值范围:6~128位。

    Test@123

    确认密钥

    再次输入预共享密钥。

    Test@123

    高级配置

    • 默认配置。
    • 自定义配置:自定义配置IKE策略和IPsec策略。相关配置说明请参见表2表3

    自定义配置

    表2 IKE策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • MD5(此算法安全性较低,请慎用)
    • SHA1(此算法安全性较低,请慎用)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • AES-128
    • AES-192
    • AES-256
    • 3DES(此算法安全性较低,请慎用)

    默认配置为:AES-128。

    AES-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:

    • DH group 1(此算法安全性较低,请慎用)
    • DH group 2(此算法安全性较低,请慎用)
    • DH group 5(此算法安全性较低,请慎用)
    • DH group 14
    • Group 15
    • Group 16
    • Group 19
    • Group 20
    • Group 21

    默认配置为:Group 14。

    Group 14

    版本

    IKE密钥交换协议版本,支持的版本:

    • v1(v1版本安全性较低,如果用户设备支持v2版本,建议选择v2)
    • v2

    默认配置为:v2。

    v2

    生命周期(秒)

    安全联盟(SA—Security Association)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:86400。

    86400

    协商模式

    选择IKE策略版本为“v1”时,可以配置协商模式,取值支持Main、Aggressive。

    默认配置为:Main

    Main

    表3 IPsec策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)
    • MD5(此算法安全性较低,请慎用)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • AES-128
    • AES-192
    • AES-256
    • 3DES(此算法安全性较低,请慎用)

    默认配置为:AES-128。

    AES-128

    PFS

    PFS(Perfect Forward Secrecy)即完美前向安全功能,用来配置IPsec隧道协商时使用。

    PFS组支持的算法:

    • Disable
    • DH group 1(此算法安全性较低,请慎用)
    • DH group 2(此算法安全性较低,请慎用)
    • DH group 5(此算法安全性较低,请慎用)
    • DH group 14
    • DH group 15
    • DH group 16
    • DH group 19
    • DH group 20
    • DH group 21

    默认配置为:DH group 14。

    DH group 14

    传输协议

    IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:

    • AH
    • AH-ESP
    • ESP

    默认配置为:ESP。

    ESP

    生命周期(秒)

    安全联盟(SA—Security Association)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:3600。

    3600

    IKE策略指定了IPsec 隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在VPC上的VPN和您数据中心的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。

    以下算法安全性较低,请慎用:

    • 认证算法:SHA1、MD5。
    • 加密算法:3DES。
    • DH算法:Group 1、Group 2、Group 5。
  7. 提交申请。

    创建成功后云为该IPsec VPN分配一个公网出口IP地址。该地址为VPN页面中,已创建的VPN的本端网关地址。在您自己数据中心配置对端隧道时,远端网关需要配置为该IP地址。

  8. 因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。