检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
路由设置:用户侧数据中心设备从子网的网关设备开始至VPN对接设备,逐跳添加去往云端子网的路由,下一跳指向连接VPN设备出方向的路由,在VPN设备上的路由指向出接口下一跳公网网关IP。 NAT设置:在VPN设备上关闭本地子网访问云端子网的NAT,即本端子网访问云端子网不做NAT。最后在安全策略中双向放行本地子网和云端子
p2c_vgw_id String 功能说明:P2C VPN网关ID。 格式:36位UUID。 client_cidr String 功能说明:客户端网段。客户端建立连接时,会从该网段分配一个虚拟IP地址。 格式:"点分十进制/掩码"格式,例如192.168.1.0/24。 local_subnets
不同区域的经典版VPN操作流程有所区别,详细请参见表1。 表1 入门指引 上线区域 以控制台实际上线区域为准。 页面操作 创建步骤及顺序如下: 创建VPN网关 创建VPN连接 配置对端设备 创建步骤及顺序如下: 申请创建购买VPN(墨西哥城一/圣保罗一) 配置对端设备 父主题: 通
如何理解VPN连接中的远端网关和远端子网? VPN接入VPC的网络地址如何规划? IPsec VPN是否会自动建立连接? VPN协商参数有哪些?默认值是什么? 哪些设备可以与云进行VPN对接? 建立IPsec VPN连接需要账户名和密码吗? 如何在已创建的VPN连接中,限定特定的主机访问云上子网? VPN监控可以监控哪些内容?
VPN网关或VPN连接误删后是否支持恢复? VPN网关是否支持规格变更,如从专业型1变更到专业型2 经典版VPN是否支持升级企业版VPN? 父主题: 站点入云VPN企业版
示例:Fortinet飞塔防火墙VPN配置 操作场景 用户数据中心的出口防火墙选用飞塔设备,用户数据中心存在多个互联网出口,用户在华为云购买VPN网关,需要创建VPN连接连通本地网络到VPC子网。 拓扑连接 如图 多出口客户网络通过VPN接入VPC连接拓扑所示,用户数据中心存在多个互联网出口,当前指定11
放通所有本端子网到对端子网的端口。 检查客户设备侧放通策略 确认客户设备侧已经放通去往华为云VPN本端子网的数据流。 确认客户设备侧已经放通来自华为云VPN本端子网的数据流。 华为云本端子网可以选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称,在“基本信息”页签查看。 检查客户设备侧路由配置 确
Algorithm): aes-128 完美前向安全(PFS):DH-group14 生命周期(Life Cycle): 86400 客户侧设备组网与基础配置假设 内网接口:ethnet0/0 所属zone为Trust,接口IP为b.b.b.1/24。 外网接口:ethnet0/1
网,同理,客户端VPN的远端子网也需要做相应的调整。 客户侧:本端子网不变,远端子网添加VPC2的子网,本示例为192.168.2.0/24。 VPC1侧:本端子网添加VPC2的子网,本示例为192.168.2.0/24,远端子网不变。 选择“虚拟专用网络 > 经典版 ”,在“V
公司网络已通过VPN连通了云,我如何在家访问云ECS? 购买VPN网关和连接后,发现云下没有支持IPsec的设备,如何临时建立VPN连接? 如何选择在云上的哪个区域创建VPN网关? 父主题: 站点入云VPN企业版
创建VPN网关 场景描述 如果您需要使用终端设备远程接入VPC,使用户可以安全地访问VPC中部署的应用或服务,在使用终端入云VPN之前,需要创建VPN网关。 约束与限制 用户最多可创建50个VPN网关。 前提条件 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。
通过站点入云VPN经典版实现数据中心和VPC互通 入门指引 购买VPN(墨西哥城一/圣保罗一) 创建VPN网关 创建VPN连接 配置对端设备
用户侧数据中心的网关设备没有固定的公网IP可以吗? 可以。 用户数据中心与云进行VPN对接时,如果用户购买的VPN网关规格支持非固定IP接入能力,对端网关设备就可以使用非固定IP接入。 VPN网关是否支持非固定IP接入能力,以管理控制台实际上线区域为准。 父主题: 公网地址
VPN协商与对接 哪些设备可以与云进行VPN对接? VPN协商参数有哪些?默认值是什么? IPsec VPN是否会自动建立连接? 使用VPN连通云端VPC网络,云下设备如何配置? VPN支持远端网关域名对接吗? 我创建的VPN连接有几个隧道? 如何在已创建的VPN连接中,限定特定的主机访问云上子网?
如何重置已经建立的VPN连接? 在线下设备上关闭VPN连接,待云上VPN连接状态变为未连接后重新启动线下设备上的VPN连接; 更改线上VPN连接的远端网关IP为其它任意IP,待云下连接状态变为inactive后,重新将云上的远端网关IP修改为之前的IP。 父主题: Console与页面使用
检查远端LAN配置(即对端数据中心网络配置)。 在远程LAN(对端数据中心网络)配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信,请检查远程LAN是否存在拒绝策略。 父主题: 站点入云VPN经典版
数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE
p2c_vgw_id String 功能说明:P2C VPN网关ID。 格式:36位UUID。 client_cidr String 功能说明:客户端网段。客户端建立连接时,会从该网段分配一个虚拟IP地址。 格式:"点分十进制/掩码"格式,例如192.168.1.0/24。 local_subnets
数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE
VPN支持远端网关域名对接吗? 云端VPN连接需要明确对端的公网IP地址,暂不支持通过域名方式与对端设备进行对接。 父主题: VPN协商与对接
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
