检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在左侧导航栏,选择“虚拟专用网络 > 企业版-VPN网关”。 在VPN网关所在行,选择“更多 > 修改VPN连接组数”。 在“修改VPN连接组数”界面,选择目标VPN连接组数,单击“下一步”。 如果是升配操作,单击“去支付”;如果是降配操作,单击“确定”。
方案架构 支持多个客户端使用CA颁发的证书,登录连接VPN网关访问到云上VPC的场景。 图1 方案架构 方案优势 用户通过客户端证书认证方式连接到VPN网关,用户数据传输更安全。 约束与限制 最多支持添加10个客户端CA证书。
创建1个VPN网关使用的VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 您在创建VPN网关时,“虚拟私有云”需要选择该VPC,“互联子网”填写该VPC下的网段,请确保选择的互联子网存在4个及以上可分配的IP地址。
对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。
vpn-001 VPN网关 选择VPN网关。 vpngw-001 网关IP 选择VPN网关已绑定的主EIP。 1.1.1.2 对端网关 选择对端网关。 cgw-fw 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 用户数据中心中需要和华为云VPC通信的子网。
vpn-001 VPN网关 选择VPN网关。 vpngw-001 网关IP 选择VPN网关已绑定的主EIP。 1.1.1.2 对端网关 选择对端网关。 cgw-fw 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 用户数据中心中需要和华为云VPC通信的子网。
部分网段是VPC预留网段,不能作为对端子网,比如100.64.0.0/10,214.0.0.0/8。 每个VPN连接最多填写50个对端子网。 tunnel_local_address String 否 功能说明:路由模式下配置在VPN网关上的tunnel接口地址。
VPN网关 可监控带宽信息包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率;查询网关监控状态请在VPN网关列表中选择“操作 > 查看监控”即可。
vpn-001 VPN网关 选择VPN网关。 vpngw-001 网关IP 选择VPN网关已绑定的主EIP。 1.1.1.2 对端网关 选择对端网关。 cgw 连接模式 选择“策略模板模式”。 策略模板模式 对端子网 指需要通过VPN连接访问云上VPC的用户侧子网。
本端子网的全0配置,暂不开放支持。 本端网段的限制网段为0.0.0.0/8,224.0.0.0/4,240.0.0.0/4,127.0.0.0/8,不能与这些特殊网段重叠或冲突。 每个用户最多建立5个连接。 用户数最大配置为网关的最大连接数。 用户组数量配置最大为50。
VPN是基于VPN网关创建的VPN连接共享的带宽,VPN连接带宽总和不超过VPN网关的带宽。网络质量依赖公网质量。 父主题: 带宽与网速
客户端日志显示“TCP Failed” 故障现象 客户端无法正常连接终端入云VPN网关,日志中记录如下错误: TCP: connect to [AF_INET] *.*.*.*:**** failed: Unknown error 可能原因 现有客户端配置文件中的协议或端口与VPN
确认华为云ECS所在的安全组已经放通来自对端子网数据流。 互联子网的ACL规则配置不正确 确认互联子网的ACL规则中,是否已放通所有本端子网到对端子网的TCP协议端口。 选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称。 在“基本信息”页签,记录互联子网信息。
约束与限制 VPN网关的本端子网与对端子网不能相同,即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。
计费示例(终端入云VPN) 假设您在2024/08/08 15:50:04购买了一个包年/包月终端入云VPN网关(规格:专业型1,VPN连接数:20,带宽大小:20),计费资源包括VPN网关、VPN连接、EIP。
前提条件 请确认包年/包月VPN网关还未到期。 在购买VPN网关页面开通自动续费 您可以在购买VPN网关页面开通自动续费,如图1所示。 图1 自动续费配置 在购买VPN网关时开通的自动续费遵循以下规则: 按月购买:自动续费周期为1个月。 按年购买:自动续费周期为1年。
在左侧导航栏选择“虚拟专用网络 > 经典版-VPN网关”。 如果所在region已同步上线企业版VPN,请选择“虚拟专用网络 > 经典版”。然后单击“VPN网关”页签。 在VPN网关列表页面,选择目标VPN网关所在行。
failed 可能原因 VPN网关使用的服务端证书缺少Extended Key Usage扩展属性,导致验证失败。
VPN网关的BGP ASN可以选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称,在“基本信息”页签查看。 客户设备侧网关的BGP ASN可以选择“虚拟专用网络 > 企业版-对端网关”,在BGP ASN栏下查看。
常见的使用账户名和密码进行认证的VPN有SSL VPN,PPTP或L2TP,IPsec VPN使用预共享密钥方式进行认证,密钥是配置在VPN网关上的,在VPN协商完成后即建立通道,VPN网关所保护的主机在进行通信时无需输入账户名和密码。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
