创建VPN网关
操作场景
您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,需要先创建VPN网关。按需计费购买VPN网关时,可以同时购买一条与其关联的VPN连接。
前置条件
- 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。
- 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。
操作步骤
- 登录管理控制台。
- 在管理控制台左上角单击图标,选择区域和项目。
- 在系统首页,单击“网络 > 虚拟专用网络”。
- 在左侧导航栏选择“虚拟专用网络 > 经典版-VPN网关”。
如果所在region已同步上线企业版VPN,请选择“虚拟专用网络 > 经典版”。
- 在“VPN网关”界面,单击“创建VPN网关”。
- 根据界面提示配置参数,并单击“立即购买”。VPN网关参数请参见表 VPN网关参数说明
表1 VPN网关参数说明 参数
说明
取值样例
计费模式
VPN网关支持按需计费和包年/包月两种计费模式。计费模式以实际region购买界面为准。
按需计费:购买VPN网关时,可以同时购买一条与其相关联的VPN连接。
包年/包月:在创建VPN网关时一次性收费,包含网关带宽费用和固定连接条目的费用,创建条目数内的VPN连接不再额外收取费用。
包年/包月
区域
不同区域的资源之间内网不互通。请选择靠近您客户的区域,可以降低网络时延、提高访问速度。
华北-北京四
名称
VPN网关名称。
vpngw-001
虚拟私有云
VPN接入的VPC名称。
vpc-001
类型
VPN类型。默认为选择“IPsec”。
IPsec
计费方式
按需计费支持两种计费方式:按带宽计费/按流量计费。
计费方式为包年/包月时只支持按宽带计费。
计费方式以实际region购买界面为准。
- 按带宽计费:指定带宽上限,按使用时间计费,与使用的流量无关。
- 按流量计费:指定带宽上限,按实际使用的上行流量计费,与使用时间无关。
按流量计费
带宽大小
本地VPN网关的带宽大小(单位Mbit/s),为所有基于该网关创建的VPN连接共享的带宽,VPN连接带宽总和不超过VPN网关的带宽。
在VPN使用过程中,当网络流量超过VPN带宽时有可能造成网络拥塞导致VPN连接中断,请用户提前做好带宽规划。
可以在CES监控中配置告警规则对带宽进行监控。
10
VPN连接数
当计费模式为“包年/包月”模式时需要配置此参数。
一个数据中心有一个网关,一个网关需要建立一个VPN连接,可根据数据中心的数量选择VPN连接数。
支持创建的连接数为:10、20、30、40、50、100、200、300、400、500。
10
购买时长
需要购买的时长,只可以按月或按年购买。
当计费模式为“包年/包月”模式时需要配置此参数。
1年
描述
VPN网关的描述信息。
-
当用户创建的VPN网关为按需计费时,默认创建一个VPN连接(深圳Region除外),所以需要同时配置与VPN网关关联的VPN连接参数,详细请参见表2。
表2 VPN连接参数说明 参数
说明
取值样例
名称
VPN连接名称
vpn-001
VPN网关
VPN连接挂载的VPN网关名称
vpcgw-001
本端子网
本端子网指需要通过VPN访问用户本地网络的VPC子网。支持以下方式设置本端子网:
- 选择子网,表示用户数据中心或者私有网络与您选择的子网进行互通。
- 手动输入网段,表示用户数据中心或者私有网络与您配置的网段之间进行互通。
说明:
多个本端子网不支持子网网段重叠。
192.168.1.0/24,
192.168.2.0/24
远端网关
您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN互通。
-
远端子网
远端子网指需要通过VPN访问VPC的用户本地子网。远端子网网段不能被本端子网网段覆盖,也不能与本端VPC已有的对等连接网段、专线/云连接的远端子网网段重复。
说明:多个远端子网不支持子网网段重叠。
192.168.3.0/24,
192.168.4.0/24
预共享密钥
配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。
取值范围:
- 取值长度:6~128个字符。
- 只能包括以下几种字符:
- 数字
- 大小写字母
- 特殊符号:包括“~”、“`”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“+”、“=”、“[”、“]”、“{”、“}”、“|”、"\"、","、"."、"/"、“:”和“;”
Test@123
确认密钥
再次输入预共享密钥。
Test@123
高级配置
自定义配置
表3 IKE策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:
- MD5(此算法安全性较低,请慎用)
- SHA1(此算法安全性较低,请慎用)
- SHA2-256
- SHA2-384
- SHA2-512
默认配置为:SHA2-256。
SHA2-256
加密算法
加密算法,支持的算法:
- AES-128
- AES-192
- AES-256
- 3DES(此算法安全性较低,请慎用)
默认配置为:AES-128。
AES-128
DH算法
Diffie-Hellman密钥交换算法,支持的算法:
- Group 1(此算法安全性较低,请慎用)
- Group 2(此算法安全性较低,请慎用)
- Group 5(此算法安全性较低,请慎用)
- Group 14
- Group 15
- Group 16
- Group 19
- Group 20
- Group 21
默认配置为:Group 14。
协商双方的dh算法必须一致,否则会导致协商失败。
Group 14
版本
IKE密钥交换协议版本,支持的版本:
- v1(有安全风险不推荐)
- v2
默认配置为:v2。
v2
生命周期(秒)
安全联盟(SA—Security Association)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:86400。
86400
表4 IPsec策略 参数
说明
取值样例
认证算法
认证哈希算法,支持的算法:
- SHA1(此算法安全性较低,请慎用)
- MD5(此算法安全性较低,请慎用)
- SHA2-256
- SHA2-384
- SHA2-512
默认配置为:SHA2-256。
SHA2-256
加密算法
加密算法,支持的算法:
- AES-128
- AES-192
- AES-256
- 3DES(此算法安全性较低,请慎用)
默认配置为:AES-128。
AES-128
PFS
PFS(Perfect Forward Secrecy)即完美前向安全功能,用来配置IPsec隧道协商时使用。
PFS组支持的算法:
- DH group 1(此算法安全性较低,请慎用)
- DH group 2(此算法安全性较低,请慎用)
- DH group 5(此算法安全性较低,请慎用)
- DH group 14
- DH group 15
- DH group 16
- DH group 19
- DH group 20
- DH group 21
默认配置为:DH group 14。
DH group 14
传输协议
IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:
- ESP
- AH
- AH-ESP
默认配置为:ESP。
ESP
生命周期(秒)
安全联盟(SA—Security Association)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
默认配置为:3600。
3600
以下算法安全性较低,请慎用:
认证算法:SHA1、MD5。
加密算法:3DES。
DH算法:Group 1、Group 2、Group 5。
- 确认购买的VPN网关信息,单击“提交”。