检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过VPN来实现云下IDC与云端VPC的互通,两端分别需要做哪些配置? VPN对接的工作分为两个部分:云上创建VPN和用户侧数据中心配置VPN设备。 云上创建VPN:购买VPN网关,选定计费模式、带宽大小、指定对接的VPC;购买VPN连接,指定两端网关IP,两端子网和协商策略。 用户侧数据中心配置VPN设备
图1 多出口客户网络通过VPN接入VPC连接拓扑 华为云端的VPN连接资源策略配置按照缺省信息配置,详见图2。 图2 策略配置 配置步骤 本示例以华为云端VPN配置信息为基础,详细介绍用户侧飞塔防火墙设备的VPN配置。 配置IPsec VPN 创建隧道。 选择“虚拟专网 > 隧道
华为云端的VPN连接资源策略配置按照图2所示信息配置,使用DMZ区域专用的VPN设备进行NAT穿越连接时,协商模式修改为野蛮模式;使用防火墙进行连接协商模式选择缺省。 图2 华为云VPN策略配置 配置步骤 本示例以华为云端VPN配置信息为基础,详细介绍用户侧深信服设备的VPN配置。
VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略,用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置 结果验证 在“VPN连接”页面生成新创建的VPN连接信息,初始状态为“创建
在多出口的网络中,能否使用两个出口分别与同一VPC建立VPN连接做冗余配置? 可以。 父主题: 组网与使用场景
配置VPN连接的本端子网和远端子网时需要注意什么? 子网数量满足规格限制,数量超出规格限制请进行聚合汇总。 本端子网不可以包含远端子网,远端子网可以包含本端子网。 推荐配置的本端子网在VPC内有路由可达。 同一个VPN网关创建两条连接:若这两条连接的远端子网存在包含关系,在访问的
VPN配置完成了,为什么连接一直处于未连接状态? 可能存在信息配置错误,请从以下方面进行排查: 确认两端的预共享密钥和协商信息一致,云上与用户侧数据中心的本端子网/对端子网、本端网关/对端网关互为镜像。 确认用户侧数据中心设备的路由、NAT和安全策略配置无误。 父主题: Console与页面使用
VPN配置完成了,为什么连接一直处于未连接状态? 可能存在信息配置错误,请从以下方面进行排查: 确认两端的预共享密钥和协商信息一致,云上与用户侧数据中心的本端子网/对端子网、本端网关/对端网关互为镜像。 确认用户侧数据中心设备的路由、NAT和安全策略配置无误。 父主题: 热点问题
查看VPC网络配置信息。如下图所示。 图26 VPC网络配置信息 VPC内的虚拟机 Ping 云端VPC虚拟机 图27 VPC内的虚拟机 Ping 云端VPC虚拟机 云端VPC虚拟机 Ping VPC内的虚拟机 图28 云端VPC虚拟机 Ping VPC内的虚拟机 场景二验证成功。
些变化? 配置VPN时,用户需要在用户侧数据中心的网关上增加以下VPN配置信息: IKE/IPsec策略配置。 指定感兴趣流(ACL)。 用户需要审视用户侧数据中心网关的路由配置,确保发往VPC的流量被路由到正确的出接口(即绑定IPsec策略的接口)。 在完成VPN配置后,只有命
些变化? 配置VPN时,用户需要在用户侧数据中心的网关上增加以下VPN配置信息: IKE/IPsec策略配置。 指定感兴趣流(ACL)。 用户需要审视用户侧数据中心网关的路由配置,确保发往VPC的流量被路由到正确的出接口(即绑定IPsec策略的接口)。 在完成VPN配置后,只有命
Test@123 高级配置 默认配置。 已有配置。 自定义配置:包含IKE策略和IPsec策略,用于指定VPN隧道加密算法。相关配置说明请参见表 IKE策略和表 IPsec策略。 自定义配置 表2 IKE策略 参数 说明 取值样例 认证算法 认证哈希算法,支持的算法: MD5(此算法安全性较低,请慎用)
Test@123 高级配置 默认配置。 已有配置。 自定义配置:包含IKE策略和IPsec策略,用于指定VPN隧道加密算法。相关配置说明请参见表 IKE策略和表 IPsec策略。 自定义配置 表2 IKE策略 参数 说明 取值样例 认证算法 认证哈希算法,支持的算法: MD5(此算法安全性较低,请慎用)
如果您已经购买EIP,则此处可以直接绑定使用。 2 步骤二:配置服务端 指定客户端需要访问的网段(本端网段)和客户端访问时使用的网段(客户端网段)。 选择服务端证书和客户端认证类型,用于建立VPN连接时的身份认证。 客户端认证类型支持“证书认证”和“口令认证(本地)”两种方式。 配置VPN连接的SSL参数(协议、端口、认证算法、加密算法等)。
流,使用IP+掩码的格式进行配置配置的条目数等于本端子网与远端子网数量的乘积。 高级配置:选择默认配置即可,可以开启VPN隧道检测,源地址为本地私网IP和目标地址为华为云私网的IP(推荐选择真实可用地址)。 接口配置: 在导航栏安全域下新建一个VPN的安全域,进行命名为VPN,类型选择三层安全域。
情页配置服务端。 根据界面提示配置参数,单击“确定”。 服务端配置参数请参见表2。 表2 服务端参数说明 区域 参数 说明 取值样例 基本信息 本端网段 本端网段是客户端通过终端入云VPN网关访问的目标网络的地址段。本端网段可以是华为云VPC的网段,或与华为云VPC互联网络的网段。
客户端无法ping通ECS的IP地址 故障现象 客户端正常连接终端入云VPN网关,但不能ping通需要访问的ECS的IP地址。 可能原因 客户端设备或ECS禁止ping探测。 VPN网关本端网段未包含需要访问的ECS的IP地址。 ECS安全组禁止ping探测。 没有配置用户所属用户组,或者用户组没有配置对应访问策略。
VPN配置完成了,为什么连接一直处于未连接状态? 可能存在信息配置错误,请从以下方面进行排查: 确认两端的预共享密钥和协商信息一致,云上与用户侧数据中心的本端子网/对端子网、本端网关/对端网关互为镜像。 确认用户侧数据中心设备的路由、NAT和安全策略配置无误。 父主题: 连接故障或无法PING通
弹性云服务器(Elastic Cloud Server,ECS) 通过ECS服务,定义安全组中的规则,将VPC中的弹性云服务器划分成不同的安全域,以提升弹性云服务器访问的安全性。 弹性云服务器 企业路由器(Enterprise Router,ER) 通过企业路由器ER,用户数据中心上云可以实现VPN和专线双通道互备。
“关联模式”采用“企业路由器”时需要配置。 “关联模式”采用“虚拟私有云”、“网络类型”为“私网”时需要配置。 当VPN网关的南北向需要连接不同的虚拟私有云时,设置北向的虚拟私有云为该接入虚拟私有云。VPN网关关联的虚拟私有云为南向业务虚拟私有云。 选择“与网关关联的虚拟私有云一致” 接入子网