创建对端网关

场景描述

如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通，创建VPN连接之前，需要创建对端网关。

约束与限制

• 国密型对端网关标识仅支持网关IP，且该网关IP地址值必须是静态地址。
• FQDN类型标识的对端网关只支持策略模板模式对接。
• VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
• 策略模板模式只支持ikev2。

操作步骤

1. 登录管理控制台。
2. 在管理控制台左上角单击图标，选择区域和项目。
3. 在页面左上角单击图标，选择“网络 > 虚拟专用网络VPN”。
4. 在左侧导航栏，选择“虚拟专用网络 > 企业版-对端网关”。
5. 在“对端网关”界面，单击“创建对端网关”。
6. 根据界面提示配置参数，单击“立即创建”。

   对端网关参数请参见表1。

   表1 对端网关参数说明

   参数	说明	取值样例
   名称	对端网关的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。	cgw-001
   标识	IP Address：使用对端网关的网关IP作为IP Address。 FQDN：全地址域名，支持自定义设置。长度范围是1~128个字符，只能由大小写字母、数字和特殊符号组成，不支持以下特殊字符：&、<、>、[、]、\、空格、？，区分大小写。 如果对端网关无固定IP，请选择FQDN类型标识。 请确认本地数据中心或私有网络中的防火墙规则已经放通UDP端口4500。	IP Address，1.2.3.4 FQDN，cgw-fqdn
   BGP ASN	仅“标识”选择“IP Address”时需要配置。 请输入用户数据中心或私有网络的ASN。 对端网关的BGP ASN与VPN网关的BGP ASN不能相同。	65000
   CA证书（可选）	使用国密型网关时，需要上传对端网关的CA证书，用于和VPN网关建立VPN连接。 上传证书：手动输入，以“-----BEGIN CERTIFICATE-----”作为开头，以“-----END CERTIFICATE-----”作为结尾。 使用已上传证书：查看并勾选已上传证书，请注意证书到期时间。	-----BEGIN CERTIFICATE----- CA证书 -----END CERTIFICATE-----
   高级配置/标签	VPN服务的标识，包括键和值，最大可以创建20对标签。 标签设置时，可以选择预定义标签，也可以自定义创建。 预定义标签可以通过单击“查看预定义标签”进行查看。	-

7. （可选）如果存在两个对端网关，请参见上述步骤添加另一个网关标识对应的对端网关。

相关操作

因为隧道的对称性，还需要在您数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。