网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
计算
弹性云服务器 ECS
Flexus云服务
裸金属服务器 BMS
云手机服务器 CPH
专属主机 DeH
弹性伸缩 AS
镜像服务 IMS
函数工作流 FunctionGraph
云耀云服务器(旧版)
VR云渲游平台 CVR
Huawei Cloud EulerOS
云化数据中心 CloudDC
网络
虚拟私有云 VPC
弹性公网IP EIP
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
虚拟专用网络 VPN
云连接 CC
VPC终端节点 VPCEP
企业路由器 ER
企业交换机 ESW
全球加速 GA
企业连接 EC
云原生应用网络 ANC
CDN与智能边缘
内容分发网络 CDN
智能边缘云 IEC
智能边缘平台 IEF
CloudPond云服务
安全与合规
安全技术与应用
Web应用防火墙 WAF
企业主机安全 HSS
云防火墙 CFW
安全云脑 SecMaster
DDoS防护 AAD
数据加密服务 DEW
数据库安全服务 DBSS
云堡垒机 CBH
数据安全中心 DSC
云证书管理服务 CCM
威胁检测服务 MTD
态势感知 SA
认证测试中心 CTC
边缘安全 EdgeSec
大数据
MapReduce服务 MRS
数据湖探索 DLI
表格存储服务 CloudTable
可信智能计算服务 TICS
推荐系统 RES
云搜索服务 CSS
数据可视化 DLV
数据接入服务 DIS
数据仓库服务 GaussDB(DWS)
数据治理中心 DataArts Studio
湖仓构建 LakeFormation
智能数据洞察 DataArts Insight
应用中间件
微服务引擎 CSE
分布式消息服务Kafka版
分布式消息服务RabbitMQ版
分布式消息服务RocketMQ版
API网关 APIG
分布式缓存服务 DCS
多活高可用服务 MAS
事件网格 EG
开天aPaaS
应用平台 AppStage
开天企业工作台 MSSE
开天集成工作台 MSSI
API中心 API Hub
云消息服务 KooMessage
交换数据空间 EDS
云地图服务 KooMap
云手机服务 KooPhone
组织成员账号 OrgID
云空间服务 KooDrive
管理与监管
统一身份认证服务 IAM
消息通知服务 SMN
云监控服务 CES
应用运维管理 AOM
应用性能管理 APM
云日志服务 LTS
云审计服务 CTS
标签管理服务 TMS
配置审计 Config
应用身份管理服务 OneAccess
资源访问管理 RAM
组织 Organizations
资源编排服务 RFS
优化顾问 OA
IAM 身份中心
云运维中心 COC
资源治理中心 RGC
区块链
区块链服务 BCS
数字资产链 DAC
华为云区块链引擎服务 HBS
解决方案
高性能计算 HPC
SAP
混合云灾备
开天工业工作台 MIW
Haydn解决方案工厂
数字化诊断治理专家服务
价格
成本优化最佳实践
专属云商业逻辑
云生态
云商店
合作伙伴中心
华为云开发者学堂
华为云慧通差旅
其他
管理控制台
消息中心
产品价格详情
系统权限
客户关联华为云合作伙伴须知
公共问题
宽限期保留期
奖励推广计划
活动
云服务信任体系能力说明
开发与运维
软件开发生产线 CodeArts
需求管理 CodeArts Req
流水线 CodeArts Pipeline
代码检查 CodeArts Check
编译构建 CodeArts Build
部署 CodeArts Deploy
测试计划 CodeArts TestPlan
制品仓库 CodeArts Artifact
移动应用测试 MobileAPPTest
CodeArts IDE Online
开源镜像站 Mirrors
性能测试 CodeArts PerfTest
应用管理与运维平台 ServiceStage
云应用引擎 CAE
开源治理服务 CodeArts Governance
华为云Astro轻应用
CodeArts IDE
Astro工作流 AstroFlow
代码托管 CodeArts Repo
漏洞管理服务 CodeArts Inspector
联接 CodeArtsLink
软件建模 CodeArts Modeling
Astro企业应用 AstroPro
CodeArts 盘古助手
华为云Astro大屏应用
存储
对象存储服务 OBS
云硬盘 EVS
云备份 CBR
高性能弹性文件服务 SFS Turbo
弹性文件服务 SFS
存储容灾服务 SDRS
云硬盘备份 VBS
云服务器备份 CSBS
数据快递服务 DES
云存储网关 CSG
专属分布式存储服务 DSS
数据工坊 DWR
地图数据 MapDS
键值存储服务 KVS
容器
云容器引擎 CCE
云容器实例 CCI
容器镜像服务 SWR
云原生服务中心 OSC
应用服务网格 ASM
华为云UCS
数据库
云数据库 RDS
数据复制服务 DRS
文档数据库服务 DDS
分布式数据库中间件 DDM
云数据库 GaussDB
云数据库 GeminiDB
数据管理服务 DAS
数据库和应用迁移 UGO
云数据库 TaurusDB
人工智能
AI开发平台ModelArts
华为HiLens
图引擎服务 GES
图像识别 Image
文字识别 OCR
自然语言处理 NLP
内容审核 Moderation
图像搜索 ImageSearch
医疗智能体 EIHealth
企业级AI应用开发专业套件 ModelArts Pro
人脸识别服务 FRS
对话机器人服务 CBS
语音交互服务 SIS
人证核身服务 IVS
视频智能分析服务 VIAS
城市智能体
自动驾驶云服务 Octopus
盘古大模型 PanguLargeModels
IoT物联网
设备接入 IoTDA
全球SIM联接 GSL
IoT数据分析 IoTA
路网数字化服务 DRIS
IoT边缘 IoTEdge
设备发放 IoTDP
企业应用
域名注册服务 Domains
云解析服务 DNS
企业门户 EWP
ICP备案
商标注册
华为云WeLink
华为云会议 Meeting
隐私保护通话 PrivateNumber
语音通话 VoiceCall
消息&短信 MSGSMS
云管理网络
SD-WAN 云服务
边缘数据中心管理 EDCM
云桌面 Workspace
应用与数据集成平台 ROMA Connect
ROMA资产中心 ROMA Exchange
API全生命周期管理 ROMA API
政企自服务管理 ESM
视频
实时音视频 SparkRTC
视频直播 Live
视频点播 VOD
媒体处理 MPC
视频接入服务 VIS
数字内容生产线 MetaStudio
迁移
主机迁移服务 SMS
对象存储迁移服务 OMS
云数据迁移 CDM
迁移中心 MGC
专属云
专属计算集群 DCC
开发者工具
SDK开发指南
API签名指南
DevStar
华为云命令行工具服务 KooCLI
Huawei Cloud Toolkit
CodeArts API
云化转型
云架构中心
云采用框架
用户服务
账号中心
费用中心
成本中心
资源中心
企业管理
工单管理
客户运营能力
国际站常见问题
支持计划
专业服务
合作伙伴支持计划
我的凭证
华为云公共事业服务云平台
工业软件
工业数字模型驱动引擎
硬件开发工具链平台云服务
工业数据转换引擎云服务
本文导读

创建VPN连接

更新时间:2025-02-05 GMT+08:00
分享

场景描述

如果您需要将VPC中的弹性云服务器和数据中心或私有网络连通,创建VPN网关、对端网关之后,需要继续创建VPN连接。

约束与限制

  • 使用静态路由模式创建VPN连接时,使能NQA前请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。
  • 使用策略模式创建VPN连接时,若添加多条策略规则,源、目的网段要避免出现重叠,以免造成数据流误匹配或IPsec隧道震荡。

操作步骤

  1. 登录管理控制台。
  2. 在管理控制台左上角单击图标,选择区域和项目。
  3. 在页面左上角单击图标,选择网络 > 虚拟专用网络VPN
  4. 在左侧导航栏,选择虚拟专用网络 > 企业版-VPN连接
  5. “VPN连接”页面,单击“创建VPN连接”
    说明:

    VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性,强烈建议配置。

  6. 根据界面提示配置参数,单击“立即购买”
    VPN连接参数请参见表1
    表1 VPN连接参数说明

    参数

    说明

    取值样例

    名称

    VPN连接的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。

    vpn-001

    VPN网关

    选择待关联的VPN网关名称。

    您也可以单击“创建VPN网关”进行新建,相关参数解释请参见表2

    如果您使用国密型VPN网关,且VPN网关没有绑定相关证书,请先单击右侧“上传证书”完成上传证书操作,否则VPN连接将无法建立。

    vpngw-001

    网关IP

    选择VPN网关IP。

    VPN网关对接同一对端网关时,不能选择已使用过的地址。

    可选的网关IP

    对端网关

    选择对端网关信息。

    您也可以单击“创建对端网关”进行新建,相关参数解释请参见表1

    如果您使用国密型网关,且对端网关没有绑定CA证书,请先参见上传对端网关证书上传CA证书,否则VPN连接将无法建立。

    说明:

    如果一个对端网关同时对接多个VPN网关,则VPN网关的BGP ASN和连接模式需要相同。

    cgw-001

    连接模式

    IPsec连接的模式,支持路由模式和策略模式。

    • 静态路由模式。

      根据路由配置(本端子网与对端子网)确定哪些数据进入IPsec VPN隧道。

      适用场景:对端网关之间要求互通。

    • BGP路由模式。

      根据BGP动态路由确定哪些数据进入IPsec VPN隧道。

      适用场景:对端网关之间要求互通、互通子网数量多或变化频繁、与专线互备等组网场景。

    • 策略模式。

      根据策略规则(用户侧到VPC之间通信的数据流信息)确定哪些数据进入IPsec VPN隧道,支持以源网段和目的网段定义策略规则。

      适用场景:对端网关之间要求隔离。

    • 策略模板模式。

      VPN网关被动响应对端网关的IPsec连接请求,认证对端网关后接受对端网关以源网段和目的网段定义的策略规则。

      • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。
      • 策略模板模式只支持ikev2。

      适用场景:对端网关无固定IP地址。

    静态路由模式

    对端子网

    指需要通过VPN连接访问云上VPC的用户侧子网。

    若存在多个对端子网,请用半角逗号(,)隔开。

    说明:
    • 对端子网可以和本端子网重叠,但不能重合。
    • 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。
    • 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。
    • 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。
    • VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。

    172.16.1.0/24,172.16.2.0/24

    分支互联

    “连接模式”采用“BGP路由模式”,支持分支互联功能。

    • 开启
    • 关闭
    默认关闭。
    说明:

    关闭时只发布本端子网路由。

    关闭

    接口分配方式

    “连接模式”采用“静态路由模式”“BGP路由模式”时需要配置。

    说明:
    • 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。
    • 如果对端网关的tunnel接口地址固定不可更改,请使用“手动分配”模式,并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。
    • 手动分配。
      • 仅支持在169.254.x.x/30网段(除169.254.195.x/30)范围内,配置VPN网关本端接口地址的tunnel接口地址;对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。

        例如:本端接口地址配置为169.254.1.6/30,则对端接口地址自动配置为169.254.1.5/30。

      • “连接模式”采用“BGP路由模式”的场景下,选择“手动分配”的方式配置隧道接口地址时,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。
    • 自动分配。
      • VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。
      • 自动分配的本端接口地址/对端接口地址,可以在VPN连接页面,单击“修改连接信息”进行查看。
      • “连接模式”采用“BGP路由模式”的场景下,选择“自动分配”的方式,在创建连接后,可查看分配的本端隧道接口地址和对端隧道接口地址,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。

    自动分配

    本端隧道接口地址

    “接口分配方式”采用“手动分配”时需要配置。

    配置在VPN网关上的tunnel接口地址。

    -

    对端隧道接口地址

    “接口分配方式”采用“手动分配”时需要配置。

    配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。

    -

    检测机制

    “连接模式”采用“静态路由模式”时需要配置。

    说明:

    功能开启前,请确认对端网关支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。

    功能开启后,VPN网关会自动对对端接口地址进行NQA探测。关于NQA的相关介绍,请参见华为云NQA

    勾选

    预共享密钥

    VPN网关和对端网关的预共享密钥需要保持一致。

    取值范围:

    • 取值长度:8~128个字符。
    • 只能包括以下几种字符,且必须包含三种及以上类型:
      • 数字。
      • 大写字母。
      • 小写字母。
      • 特殊符号:包括“~”、“!”、“@”、“#”、“$”、“%”、“^”、“(”、“)”、“-”、“_”、“+”、“=”、“{”、“}”、","、"."、"/"、“:”和“;”。
    说明:

    国密型VPN连接无此参数。

    Test@123

    确认密钥

    再次输入预共享密钥。

    说明:

    国密型VPN连接无此参数。

    Test@123

    策略规则

    “连接模式”采用“策略模式”时需要配置。

    用于定义本端子网到对端子网之间具体进入VPN连接加密隧道的数据流信息,由源网段与目的网段来定义。系统默认支持配置5条策略规则。

    • 源网段。

      源网段必须包含部分本端子网。其中,0.0.0.0/0表示任意地址。

    • 目的网段。

      目的网段必须完全包含对端子网。一个策略规则最大支持5个目的网段,目的网段之间使用英文逗号(,)进行分隔。

    • 源网段1:192.168.1.0/24
    • 目的网段1:172.16.1.0/24,172.16.2.0/24
    • 源网段2:192.168.2.0/24
    • 目的网段2:172.16.1.0/24,172.16.2.0/24

    策略配置

    • 默认配置。
    • 自定义配置:自定义配置IKE策略和IPsec策略。相关配置说明请参见表2表3
      说明:

      当本端标识和对端标识类型为IP Address时,支持配置指定标识值,且本端ID与对端ID不能相同。

    自定义配置

    策略模板配置

    “连接模式”采用“策略模板模式”时需要配置。

    此处不支持对策略模板进行修改,如需修改,请参见修改VPN网关策略模板中关于修改策略模板的描述。

    -

    标签

    • VPN服务的资源标签,包括键和值,最大可以创建20对标签。
    • 标签设置时,可以选择预定义标签,也可以自定义创建。
    • 预定义标签可以通过单击“查看预定义标签”进行查看。

    -

    表2 IKE策略

    参数

    说明

    取值样例

    版本

    IKE密钥交换协议版本,支持的版本:

    • v1(v1版本安全性较低,如果用户设备支持v2版本,建议选择v2)

      建立国密型VPN连接,IKE密钥交换协议版本只能为“v1”

    • v2。

    国密型VPN连接默认配置为:v1。

    非国密型VPN连接默认配置为:v2。

    v2

    协商模式

    “版本”采用“v1”时需要配置。

    • Main。

      当使用国密型VPN网关创建VPN连接时,“协商模式”仅支持“Main”

    • Aggressive。

    Main

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)。
    • MD5(此算法安全性较低,请慎用)。
    • SHA2-256。
    • SHA2-384。
    • SHA2-512。
    • SM3。

      仅国密型VPN连接选择该认证算法,此时IKE密钥交换协议版本只能为“v1”

    国密型VPN连接默认配置为:SM3。

    非国密型VPN连接默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • 3DES(此算法安全性较低,请慎用)。
    • AES-128(此算法安全性较低,请慎用)。
    • AES-192(此算法安全性较低,请慎用)。
    • AES-256(此算法安全性较低,请慎用)。
    • AES-128-GCM-16。
    • AES-256-GCM-16。

      选择该加密算法时,IKE密钥交换协议版本只能为“v2”。

    • SM4。

      仅国密型VPN连接选择该加密算法,此时IKE密钥交换协议版本只能为“v1”

    国密型VPN连接默认配置为:SM4。

    非国密型VPN连接默认配置为:AES-128。

    AES-128

    DH算法

    支持的算法 :

    • Group 1(此算法安全性较低,请慎用)。
    • Group 2(此算法安全性较低,请慎用)。
    • Group 5(此算法安全性较低,请慎用)。
    • Group 14(此算法安全性较低,请慎用)。
    • Group 15。
    • Group 16。
    • Group 19。
    • Group 20。
    • Group 21。

    默认配置为:Group 15。

    说明:

    国密型VPN连接无此参数。

    Group 15

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:60~604800。
    • 默认配置为:86400。

    86400

    本端标识

    IPsec连接协商时,VPN网关的鉴权标识。对端网关配置的对端标识需与此处配置的本端标识保持一致,否则协商失败。

    • IP Address(默认)。
      • 系统自动读取VPN网关的网关IP作为IP Address,无需用户手动配置。
      • 支持配置指定标识值,且本端ID与对端ID不能相同。
    • FQDN。

      全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。

    说明:

    国密型VPN连接无此参数。

    IP Address

    对端标识

    IPsec连接协商时,对端网关的鉴权标识。在VPN网关配置的对端标识需与对端网关的本端标识保持一致,否则协商失败。

    • IP Address(默认)。
      • 系统自动读取对端网关的网关IP作为IP Address,无需用户手动配置。
      • 支持配置指定标识值,且本端ID与对端ID不能相同。
    • FQDN。

      全地址域名,支持自定义设置。长度范围是1~128个字符,只能由大小写字母、数字和特殊符号组成,不支持以下特殊字符:&、<、>、[、]、\、空格、?,区分大小写。

    说明:

    国密型VPN连接无此参数。

    IP Address

    表3 IPsec策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:

    • SHA1(此算法安全性较低,请慎用)。
    • MD5(此算法安全性较低,请慎用)。
    • SHA2-256。
    • SHA2-384。
    • SHA2-512。
    • SM3。

      仅国密型VPN连接选择该认证算法。

    国密型VPN连接默认配置为:SM3。

    非国密型VPN连接默认配置为:SHA2-256。

    SHA2-256

    加密算法

    加密算法,支持的算法:

    • 3DES(此算法安全性较低,请慎用)。
    • AES-128(此算法安全性较低,请慎用)。
    • AES-192(此算法安全性较低,请慎用)。
    • AES-256(此算法安全性较低,请慎用)。
    • AES-128-GCM-16。
    • AES-256-GCM-16。
    • SM4。

      仅国密型VPN连接选择该加密算法。

    国密型VPN连接默认配置为:SM4。

    非国密型VPN连接默认配置为:AES-128。

    AES-128

    PFS

    PFS(Perfect Forward Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。

    PFS组支持的算法:

    • Disable(此算法安全性较低,请慎用)。
    • DH group 1(此算法安全性较低,请慎用)。
    • DH group 2(此算法安全性较低,请慎用)。
    • DH group 5(此算法安全性较低,请慎用)。
    • DH group 14(此算法安全性较低,请慎用)。
    • DH group 15。
    • DH group 16。
    • DH group 19。
    • DH group 20。
    • DH group 21。

    默认配置为:DH group 15。

    说明:
    • 国密型VPN连接无此参数。
    • 国密型VPN网关和国密型对端网关创建VPN连接时,需要保证国密型对端网关关闭PFS功能,否则会导致VPN连接无法建立。

    DH group 15

    传输协议

    IPsec传输和封装用户数据时使用的安全协议。目前支持的协议:

    • ESP。

    默认配置为:ESP。

    ESP

    生命周期(秒)

    安全联盟(Security Association,SA)的生存时间。

    在超过生存时间后,安全联盟将被重新协商。

    • 单位:秒。
    • 取值范围:30~604800。
    • 默认配置:3600。

    3600

    说明:

    IKE策略指定了IPsec隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec隧道在数据传输阶段所使用的协议、加密以及认证算法。VPC和数据中心的VPN连接在策略配置上需要保持一致,否则会导致VPN协商失败,进而导致VPN连接建立失败。

    以下算法安全性较低,请慎用:

    • 认证算法:SHA1、MD5。
    • 加密算法:3DES、AES-128、AES-192、AES-256。

      出于部分对端设备不支持安全加密算法的考虑,VPN连接的默认加密算法仍为AES-128。在对端设备功能支持的情况下,建议使用更安全的加密算法。

    • DH算法:Group 1、Group 2、Group 5、Group 14。
  7. 确认VPN连接规格,单击“提交”。
  8. 参见上述步骤,创建第二条VPN连接。

    VPN连接的IP对应关系,请参见背景信息

    场景化对应配置案例,请参见管理员指南

提示

您即将访问非华为云网站,请注意账号财产安全

文档反馈

文档反馈

意见反馈

0/500

标记内容

同时提交标记内容