云服务器内容精选
-
简单的IPsec VPN内网对连拓扑说明 如图1所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 支持点到点VPN(Site-to-Site VPN),可实现VPC子网和用户数据中心局域网互访。在建立IPsec VPN前,请确认拟开通VPN的用户数据中心满足以下3个条件: 用户数据中心有支持标准IPsec协议的设备。 上述设备可以分配独立的公网IP(NAT IP也支持)。 VPC子网和用户数据中心子网不冲突,用户数据中心子网到上述设备可达。 满足以上条件后,配置IPsec VPN时,需要保证两端IKE策略以及IPsec策略配置一致,两端子网互为镜像。 配置完成后,需要通过私网数据流触发VPN协商。
-
配置步骤 创建云连接 登录控制台,选择VPC所在的区域,然后在服务列表中选择网络下的“云连接”,根据图2输入相关创建信息后,单击“确定”创建云连接。 图2 创建云连接 选择已创建的云连接,单击名称添加网络实例。 图3 加载网络实例 在新页签中选择“加载网络实例”,添加云连接所连接的VPC网络,VPC子网可直接进行选择,通过VPN连接的客户网络需要手动添加在自定义网段中,然后单击“确定”。 图4 加载网络实例 另一侧VPC2配置信息和VPC1的相同,请不要忘记添加VPN连接的客户网络,如果忘记添加可通过选择云连接中的VPC,然后单击右侧“更新VPC CIDRs”进行添加。 图5 更新VPC CIDRs 云连接配置完成后, 网络实例连接示意图如下所示。 图6 更新VPC CIDRs 通过查看路由信息验证路由配置 图7 验证路由配置 更新VPN网络配置 修改思路: 用户侧:本端子网不变,远端子网添加VPC2的子网。 VPC侧:本端子网添加VPC2的子网,远端子网不变。 选择华为云端的虚拟专线网络配置,在已创建的VPN连接中修改本端子网配置。 图8 创建对等连接 更改本端子网类型为网段,添加云连接所连接的VPC1的网络实例和本端VPC子网,远端网络信息不变 VPC1的VPN连接信息配置如下图所示。 图9 修改VPN连接 VPC2的VPN连接信息配置如下图所示。 图10 修改VPN连接
-
配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存在三台E CS ,IP地址分别为192.168.1.151、192.168.11.84和192.168.22.170的三台主机,初始情况下ECS1(192.168.1.151)可以和ECS2(192.168.11.84)互联互通(通过VPN访问),ECS3(192.168.22.170)无法和其它主机互通,在建立VPC-peering后,ECS3可以和ECS2互通,但无法和ECS1互通。 经过步骤2的配置调整后,可以实现ECS1、ECS2和ECS3之间互联互通,结果验证如下。 IDC1 ECS1访问VPN连接VPC1子网下的ECS2:结果OK。 ECS1访问VPC2子网下的ECS3:结果OK。 IDC2 ECS1访问VPN连接VPC1子网下的ECS2:结果OK。 ECS1访问VPC2子网下的ECS3:结果OK。 华为云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1:结果OK VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK 华为云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1:结果OK。
-
前提条件 前置资源 用户在华为云上多个区域内购买了VPC,且某个区域中存在多个VPC。 每个区域都通过VPN和不同的用户数据中心连接。 云上VPC和用户的数据中心的子网不冲突,ECS服务正常。 连接拓扑 图1 VPN hub连接拓扑 配置思路: 通过云连接将VPC1、VPC2和VPC3进行连接,并配置云连接路由,实际网络配置需要购买带宽包。 分别创建IDC1-VPC1、IDC2-VPC2、IDC3-VPC3的VPN网络。 更新每一段VPN的本地子网和远端子网。 局点配置说明 表1 配置说明 节点 标识 VPN本端网关 VPN本地子网 VPN远端网关 VPN远端子网 CC网络实例 IDC1 VPN A 1.1.1.1 192.168.11.0/24 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 - VPC1 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 1.1.1.1 192.168.11.0/24 192.168.22.0/24 192.168.11.0/24 IDC2 VPN B 4.4.4.4 192.168.44.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 - VPC2 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 4.4.4.4 192.168.44.0/24 192.168.33.0/24 192.168.44.0/24 IDC3 VPN C 5.5.5.5 192.168.55.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 - VPC3 6.6.6.6 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 5.5.5.5 192.168.55.0/24 192.168.55.0/24 192.168.66.0/24 云连接网络实例可在任一局点配置,通过查看路由信息验证网络实例配置。 用户侧VPN网关IP与VPC互为镜像,VPN连接创建的资源信息与华为云一致。
-
VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别? VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式(即后付费),可以选择按带宽或按流量计费 : 按带宽计费,计费的周期为1小时,费用也会因带宽大小存在差异。 按流量计费,统计1小时内产生的流量费用,调整带宽大小不产生计费差异,只按产生的出VPC流量进行计费。 如果选择包年/包月付费方式,则仅支持按带宽,不支持按流量;同时包年/包月付费方式相按需付费享受更多折扣优惠。 父主题: 经典版VPN
-
配置对端设备 配置对端设备详细请参见《 虚拟专用网络 管理员指南》,该指南可以帮助您配置本地的VPN设备,实现您本地网络与华为云VPC子网的互联互通。 详细配置示例可参见: 示例:HUAWEI USG6600配置 示例:Fortinet飞塔防火墙VPN配置 示例:深信服防火墙配置 示例:使用TheGreenBow IPsec VPN Client配置云上云下互通 示例:使用Openswan配置云上云下互通 示例:使用strongSwan配置云上云下互通 父主题: 经典版VPN购买流程
-
拓扑连接 拓扑连接方式: 使用防火墙设备直接和云端建立VPN连接。 使用DMZ区域的专用VPN设备结合NAT穿越与云端建立VPN连接。 VPN接入方式的配置指导,相关信息说明如下: 用户数据中心VPN设备私网IP:10.10.10.10/24 用户数据中心用户子网:10.0.0.0/16 防火墙出口IP:11.11.11.2/24,公网网关:11.11.11.1,VPN设备的NAT IP:11.11.11.11 云端VPN网关IP:22.22.22.22,云端子网:172.16.0.0/16 现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 深信服NAT场景 华为云端的VPN连接资源策略配置按照图2所示信息配置,使用DMZ区域专用的VPN设备进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省。 图2 华为云VPN策略配置
-
命令行配置 物理接口配置 config system interface edit "port1" set vdom "root" set ip 11.11.11.11 255.255.255.0 set type physical next edit "IPsec" //隧道接口配置信息 set vdom "root" set type tunnel set interface "port1" //隧道绑定的物理接口 next end 接口划分区域配置 config system zone edit "trust" set intrazone allow set interface "A1" next edit "untrust" set intrazone allow set interface "port1 " next end 地址对象配置 config firewall address edit "hw-172.16.0.0/24" set uuid f612b4bc-5487-51e9-e755-08456712a7a0 set subnet 172.16.0.0 255.255.255.0 //云端地址网段 next edit "local-10.10.0.0/16" set uuid 9f268868-5489-45e9-d409-5abc9a946c0c set subnet 10.10.0.0 255.255.0.0 //本地地址网段 next IPsec配置 config vpn IPsec phase1-interface //一阶段配置 edit "IPsec" set interface "port1" set nattraversal disable set proposal aes128-sha1 set comments "IPsec" set dhgrp 5 set remote-gw 22.22.22.22 set psksecret ENC dmFyLzF4tRrIjV3T+lSzhQeU2nGEoYKC31NaYRWFJl8krlwNmZX5SfwUi5W5RLJqFu82VYKYsXp5+HZJ13VYY8O2Sn/vruzdLxqu84zbHEIQkTlf5n/63KEru1rRoNiHDTWfh3A3ep3fKJmxf43pQ7OD64t151ol06FMjUBLHgJ1ep9d32Q0F3f3oUxfDQs21Bi9RA== next end config vpn IPsec phase2-interface //二阶段配置 edit "IP-TEST" set phase1name "IPsec " set proposal aes128-sha1 set dhgrp 5 set keylifeseconds 3600 set src-subnet 10.10.0.0 255.255.0.0 set dst-subnet 172.16.0.0 255.255.255.0 next end 访问策略配置 config firewall policy edit 15 //策略编号15,流入至内网策略,未启用NAT set uuid 4f452870-ddb2-51e5-35c9-38a987ebdb6c set srcintf "IPsec" set dstintf "trust" set srcaddr "hw-172.16.0.0/24" set dstaddr "local-10.10.0.0/16" set action accept set schedule "always" set service "ALL" set logtraffic all next edit 29 //策略编号29,流出至云端策略,未启用NAT set uuid c2d0ec77-5254-51e9-80dc-2813ccf51463 set srcintf "trust" set dstintf "IPsec" set srcaddr "local-10.10.0.0/16" set dstaddr "hw-172.16.0.0/24" set action accept set schedule "always" set service "ALL" set logtraffic all next 路由配置 config router static edit 24 //路由编号24,访问云端静态路由 set dst 172.16.0.0 255.255.255.0 set gateway 11.11.11.1 set distance 10 set device "port1" config router policy edit 2 //策略路由编号2,云下访问云端策略路由 set input-device "A1" set src "10.10.00/255.255.0.0" set dst "172.16.0.0/255.255.255.0" set gateway 11.11.11.1 set output-device "port1"
-
拓扑连接 如图1所示,用户数据中心存在多个互联网出口,当前指定11.11.11.11的物理接口和华为云的VPC建立VPN连接,本地子网网段为10.10.0.0/16,华为云VPC子网为172.16.0.0/24。假设您在华为云购买的VPN网关IP为22.22.22.22,现通过创建VPN连接方式来连通本地网络到VPC子网。 图1 多出口客户网络通过VPN接入VPC连接拓扑 华为云端的VPN连接资源策略配置按照缺省信息配置,详见图2。 图2 策略配置
-
VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别? VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式(即后付费),可以选择按带宽或按流量计费 : 按带宽计费,计费的周期为1小时,费用也会因带宽大小存在差异。 按流量计费,统计1小时内产生的流量费用,调整带宽大小不产生计费差异,只按产生的出VPC流量进行计费。 如果选择包周期付费方式,则仅支持按带宽,不支持按流量;同时包周期付费方式相按需付费享受更多折扣优惠。 父主题: 经典版VPN
-
华为云的Region间创建的VPN,按照几条连接计费? 使用VPN可以将不同Region间的VPC打通,每个Region的VPN带宽和VPN连接是独立的资源,独立计费。所以用户在预估费用时需要统计有几个Region,每个Region需要另外几个Region进行互通。 例如:Region A与Region B和C分别建立VPN连接,则Region A的VPN网关下有2条连接,分别与B、C连接;而Region B的VPN网关下有1条连接,Region C的VPN网关下有1条连接。 因此,用户整体在华为云上一共创建了4条VPN连接,只是每条连接都隶属于各自的Region。 父主题: 经典版VPN
-
入门指引 不同区域的经典版VPN操作流程有所区别,详细请参见表1。 表1 入门指引 上线区域 华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-圣地亚哥 拉美-墨西哥城一、拉美-圣保罗一 页面操作 创建步骤及顺序如下: 创建VPN网关 创建VPN连接 配置对端设备 创建步骤及顺序如下: 申请创建购买VPN(墨西哥城一/圣保罗一) 配置对端设备 父主题: 经典版VPN购买流程
更多精彩内容
CDN加速
GaussDB
文字转换成语音
免费的服务器
如何创建网站
域名网站购买
私有云桌面
云主机哪个好
域名怎么备案
手机云电脑
SSL证书申请
云点播服务器
免费OCR是什么
电脑云桌面
域名备案怎么弄
语音转文字
文字图片识别
云桌面是什么
网址安全检测
网站建设搭建
国外CDN加速
SSL免费证书申请
短信批量发送
图片OCR识别
云数据库MySQL
个人域名购买
录音转文字
扫描图片识别文字
OCR图片识别
行驶证识别
虚拟电话号码
电话呼叫中心软件
怎么制作一个网站
Email注册网站
华为VNC
图像文字识别
企业网站制作
个人网站搭建
华为云计算
免费租用云托管
云桌面云服务器
ocr文字识别免费版
HTTPS证书申请
图片文字识别转换
国外域名注册商
使用免费虚拟主机
云电脑主机多少钱
鲲鹏云手机
短信验证码平台
OCR图片文字识别
SSL证书是什么
申请企业邮箱步骤
免费的企业用邮箱
云免流搭建教程
域名价格