检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为了增强安全性,默认开启PFS,请确认用户侧数据中心网关设备也开启了该功能,且两端配置保持一致,否则会导致协商失败。 IPsec SA字节生命周期,不是VPN网关服务可配置参数,云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。 父主题:
在左侧导航栏,选择“虚拟专用网络 > 企业版-VPN网关”。 单击“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。 在“服务端”界面,选择“服务端证书”,在下拉选项中单击“上传证书”进入“云证书管理服务”页面。 在“SSL证书管理”页面,选择“上传证书
更新终端入云VPN连接日志配置 PUT /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/log-config vpn:p2cVpnGateway:updateConnectionsLogConfig - √ × 查询终端入云VPN连接日志配置 GET
在左侧导航栏,选择“虚拟专用网络 > 企业版-VPN网关”。 单击“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。 在“服务端”界面,选择“服务端证书”,在下拉选项中单击“上传证书”进入“云证书管理服务”页面。 在“SSL证书管理”页面,选择“上传证书
FullAccess(推荐使用) VPN服务的所有执行权限。 说明: 所有查询列表的action不支持企业项目授权,需要在IAM视图下单独配置。 全局服务的action和region级的action不能配置在同一策略,需要补充全局action: "tms:predefineTags:list" "scm:cert:list"
看服务端”。 单击“连接”页签,进入VPN连接详情页面。 在连接日志中,单击“配置连接日志”。 在弹窗中,开启“启动日志记录”。 选择目标日志组和日志流,单击“确定”。 返回“连接”页签,可以看到刚配置的连接日志。 查看连接日志 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
验证操作是否成功 在华南区域创建虚拟机部署用户业务。 从华南区域虚拟机ping包到泰国数据中心机器。 正常情况下,ping包会通,同时在用户侧数据中心VPN网关上可以查看到IPsec VPN隧道信息(不同型号的网关查看方式略有不同)。 父主题: 实施步骤(手动)
约束:36位UUID,当VPN网关的flavor配置为GM时,VPN网关必须已导入过VPN网关证书。 可以通过查询VPN网关列表查看VPN网关的ID。 vgw_ip String 是 功能说明: 当VPN网关的network_type配置为public时,vgw_ip为VPN网关EIP的ID。
用户数据中心与云进行VPN对接时,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)。 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务(如L2TP)无法与云进行VPN对接。 父主题: 公网地址
USG6600配置 示例:Fortinet飞塔防火墙VPN配置 示例:深信服防火墙配置 示例:使用TheGreenBow IPsec VPN Client配置云上云下互通 示例:使用OpenSwan配置云上云下互通 示例:使用StrongSwan配置云上云下互通 示例:Web配置华为USG防火墙
ike_version String 否 功能说明:IKE版本号。 取值范围: 当VPN网关的flavor配置为GM时,取值范围为v1。 其他场景下取值范围为v1,v2。 默认值: 当VPN网关的flavor配置为GM时,默认值为v1。 其他场景下,默认值为v2。 phase1_negotiation_mode
如图 终端设备远程接入VPC所示。 图1 终端设备远程接入VPC 混合云部署 通过VPN将用户数据中心和云上VPC互联,利用云上弹性和快速伸缩能力,扩展应用计算能力,如图 混合云部署所示。 图2 混合云部署 跨地域VPC互联 通过VPN将云上的不同region的VPC连接,使得用
数据中心实体设备的配置信息。 VPN连接:VPN网关和对端网关之间的安全通道,使用IKE和IPsec协议对传输数据进行加密。 终端入云VPN VPN网关:虚拟专用网络在云上的虚拟网关,与客户端建立安全私有连接。 服务端:虚拟网关提供SSL服务的功能模块,用于配置管理及客户端的连接认证。
在超过生存时间后,安全联盟将被重新协商。 单位:秒。 取值范围:60~604800 默认配置为:86400。 √ 本端标识 IPsec连接协商时,VPN网关的鉴权标识。在对端网关配置的VPN网关标识需要和此处配置的本端标识保持一致,否则协商失败。 默认配置为:VPN网关的EIP。 × IPsec策略 认证算法 认证哈希算法,支持的算法:
两种方式。IPsec通信时,优先使用IKE对等体的DPD配置参数,如果对等体未配置DPD,则采用全局DPD配置参数。 检测模式:分为按需和周期性检测。华为设备缺省配置中无全局检测配置,是否开启对等体检测要看对等体的DPD配置是否使能。 按需型:当本端需要向对端发送IPsec报文时
附录 H3C-SecPath防火墙(V7)对接华为云配置指引 HW-USG防火墙(V5)对接华为云配置指引 山石-G防火墙(V5.5)对接华为云配置指引 深信服-SSL-M7.6对接华为云配置指引 父主题: 站点入云VPN经典版
build-server-full”生成的服务端证书默认携带此属性。 使用OpenSSL自签发的服务端证书不携带此扩展属性,需要在证书文件中补充配置“extendedKeyUsage = serverAuth”。 将包含该属性的服务端证书托管到云证书管理服务中,在VPN网关的“服务端”
VPC、VPN网关、VPN连接之间有什么关系? VPN配置下发后,多久能够生效? VPN配置完成了,为什么连接一直处于未连接状态? VPN网关删除后公网地址是否可以保留? 创建VPN是需要创建VPN网关还是VPN连接,已经创建的VPN哪些信息可以修改,哪些信息不可以修改? 本地设备配置VPN时需要设置ACL,为何在控制台上找不到对应的配置?
batchDeleteVpnUsers 创建/更新连接日志配置 p2c-vpn-gateway updateVpnConnectionsLogConfig 删除连接日志配置 p2c-vpn-gateway deleteVpnConnectionsLogConfig 查询连接日志配置 p2c-vpn-gateway
VPC、VPN网关、VPN连接之间有什么关系? VPN配置下发后,多久能够生效? VPN配置完成了,为什么连接一直处于未连接状态? VPN网关删除后公网地址是否可以保留? 已经创建的VPN哪些信息可以修改,哪些信息不可以修改? 本地设备配置VPN时需要设置ACL,为何在控制台上找不到对应的配置? 创建VPN连接时添加对端子网,提示系统异常,如何处理?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
