更新时间:2024-12-09 GMT+08:00
分享

创建VPN网关

操作场景

您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,需要先创建VPN网关。按需计费购买VPN网关时,可以同时购买一条与其关联的VPN连接。

前置条件

  • 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网
  • 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在系统首页,单击“网络 > 虚拟专用网络”。
  4. 在左侧导航栏选择“虚拟专用网络 > 经典版-VPN网关”。

    如果所在region已同步上线企业版VPN,请选择“虚拟专用网络 > 经典版”。

  5. 在“VPN网关”界面,单击“创建VPN网关”。
  6. 根据界面提示配置参数,并单击“立即购买”。VPN网关参数请参见表 VPN网关参数说明
    表1 VPN网关参数说明

    参数

    说明

    取值样例

    计费模式

    VPN网关支持按需计费和包年/包月两种计费模式。计费模式以实际region购买界面为准。

    按需计费:购买VPN网关时,可以同时购买一条与其相关联的VPN连接。

    包年/包月:在创建VPN网关时一次性收费,包含网关带宽费用和固定连接条目的费用,创建条目数内的VPN连接不再额外收取费用。

    包年/包月

    区域

    不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。

    华北-北京四

    名称

    VPN网关名称。

    vpngw-001

    虚拟私有云

    VPN接入的VPC名称。

    vpc-001

    类型

    VPN类型。默认为选择“IPsec”。

    IPsec

    计费方式

    按需计费支持两种计费方式:按带宽计费/按流量计费。

    计费方式为包年/包月时只支持按宽带计费。

    计费方式以实际region购买界面为准。

    • 按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。
    • 按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。

    按流量计费

    带宽大小

    本地VPN网关的带宽大小(单位Mbit/s),为所有基于该网关创建的VPN连接共享的带宽,VPN连接带宽总和不超过VPN网关的带宽。

    在VPN使用过程中,当网络流量超过VPN带宽时有可能造成网络拥塞导致VPN连接中断,请用户提前做好带宽规划。

    可以在CES监控中配置告警规则对带宽进行监控。

    10

    VPN连接数

    当计费模式为“包年/包月”模式时需要配置此参数。

    一个数据中心有一个网关,一个网关需要建立一个VPN连接,可根据数据中心的数量选择VPN连接数。

    支持创建的连接数为:10、20、30、40、50、100、200、300、400、500。

    10

    购买时长

    需要购买的时长,只可以按月或按年购买。

    当计费模式为“包年/包月”模式时需要配置此参数。

    1年

    描述

    VPN网关的描述信息。

    -

    当用户创建的VPN网关为按需计费时,默认创建一个VPN连接(深圳Region除外),所以需要同时配置与VPN网关关联的VPN连接参数,详细请参见表2

    表2 VPN连接参数说明

    参数

    说明

    取值样例

    名称

    VPN连接名称

    vpn-001

    VPN网关

    VPN连接挂载的VPN网关名称

    vpcgw-001

    本端子网

    本端子网指需要通过VPN访问用户本地网络的VPC子网。支持以下方式设置本端子网:

    • 选择子网,表示用户数据中心或者私有网络与您选择的子网进行互通。
    • 手动输入网段,表示用户数据中心或者私有网络与您配置的网段之间进行互通。
      说明:

      多个本端子网不支持子网网段重叠。

    192.168.1.0/24,

    192.168.2.0/24

    远端网关

    您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN互通。

    -

    远端子网

    远端子网指需要通过VPN访问VPC的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端VPC已有的对等连接网段、专线/云连接的远端子网网段重复。

    说明:

    多个远端子网不支持子网网段重叠。

    192.168.3.0/24,

    192.168.4.0/24

    预共享密钥

    配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。

    取值范围:

    • 取值长度:6~128个字符。
    • 只能包括以下几种字符:
      • 数字
      • 大小写字母
      • 特殊符号:包括“~”、“`”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“+”、“=”、“[”、“]”、“{”、“}”、“|”、"\"、","、"."、"/"、“:”和“;”

    Test@123

    确认密钥

    再次输入预共享密钥。

    Test@123

    高级配置

    自定义配置

    表3 IKE策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • MD5(此算法安全性较低,请慎用)
    • SHA1(此算法安全性较低,请慎用)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • AES-128
    • AES-192
    • AES-256
    • 3DES(此算法安全性较低,请慎用)

    默认配置为:AES-128。

    AES-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:

    • Group 1(此算法安全性较低,请慎用)
    • Group 2(此算法安全性较低,请慎用)
    • Group 5(此算法安全性较低,请慎用)
    • Group 14
    • Group 15
    • Group 16
    • Group 19
    • Group 20
    • Group 21

    默认配置为:Group 14。

    协商双方的dh算法必须一致,否则会导致协商失败。

    Group 14

    版本

    IKE密钥交换协议版本,支持的版本:

    • v1(有安全风险不推荐)
    • v2

    默认配置为:v2。

    v2

    生命周期(秒)

    安全联盟(SA—Security Association)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:86400。

    86400

    表4 IPsec策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)
    • MD5(此算法安全性较低,请慎用)
    • SHA2-256
    • SHA2-384
    • SHA2-512

    默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • AES-128
    • AES-192
    • AES-256
    • 3DES(此算法安全性较低,请慎用)

    默认配置为:AES-128。

    AES-128

    PFS

    PFS(Perfect Forward Secrecy)即完美前向安全功能,用来配置IPsec隧道协商时使用。

    PFS组支持的算法:

    • DH group 1(此算法安全性较低,请慎用)
    • DH group 2(此算法安全性较低,请慎用)
    • DH group 5(此算法安全性较低,请慎用)
    • DH group 14
    • DH group 15
    • DH group 16
    • DH group 19
    • DH group 20
    • DH group 21

    默认配置为:DH group 14。

    DH group 14

    传输协议

    IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:

    • ESP
    • AH
    • AH-ESP

    默认配置为:ESP。

    ESP

    生命周期(秒)

    安全联盟(SA—Security Association)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    默认配置为:3600。

    3600

    以下算法安全性较低,请慎用:

    认证算法:SHA1、MD5。

    加密算法:3DES。

    DH算法:Group 1、Group 2、Group 5。

  7. 确认购买的VPN网关信息,单击“提交”。
    VPN网关创建成功后,系统会分配一个公网出口IP,即VPN网关列表中“网关IP”对应显示的IP地址。该网关IP也是用户侧VPN网络配置对应的远端网关IP。

    计费模式为包年/包月的VPN网关创建完成后,VPN网关的状态为“未连接”。当有VPN连接使用该VPN网关时,VPN网关的状态更新为“正常”。

相关文档