检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
本地防火墙无法收到VPN网关的IKE第一阶段的回复包怎么解决? 检查两端公网IP是否可以互访,推荐使用ping命令,VPN网关EIP缺省可以ping通。 云下网关与VPN网关可以互访UDP 500、4500报文。 云下公网IP访问VPN网关IP时,没有发生源端口NAT转换,如果存
VPN配额 权限 对应API接口 授权项(Action) 依赖的授权项 IAM项目(Project) 企业项目(Enterprise Project) 查询VPN配额 GET /v5/{project_id}/vpn/quotas vpn:quota:list - √ × 父主题:
VPN标签 权限 对应API接口 授权项(Action) 依赖的授权项 IAM项目(Project) 企业项目(Enterprise Project) 创建资源标签 POST /v5/{project_id}/{resource_type}/{resource_id}/tags/create
API概览 虚拟专用网络提供的接口参见表1,各接口对应的权限说明请参见权限策略和授权项。 表1 VPN接口说明 类型 说明 站点入云VPN API VPN网关 站点入云VPN网关的创建、查询、更新、删除以及查询站点入云VPN网关可用区等接口。 对端网关 对端网关的创建、查询、更新、删除等接口。
不可以修改的信息 路由模式 BGP ASN 仅“路由模式”选择“动态BGP”时需要设置。 公网IP VPN连接 可以修改的信息 名称 本端接口地址 对端网关 对端子网 策略配置,包括IKE策略和IPsec策略 预共享密钥 不可以修改的信息 VPN网关 公网IP 连接模式,包括路由模式和策略模式
其余配置默认即可,存在多出口时,需额外添加访问云端公网IP从此出接口流出的路由。 NAT配置 选择“策略 > NAT策略 > 源NAT”,新建一条本地子网访问华为云不做NAT转换的策略。 图6 新建源NAT策略 表3 新建源NAT策略参数设置 参数名称 说明 源安全区域 本端子网所在安全区域。 目的区域
其余配置默认即可,存在多出口时,需额外添加访问云端公网IP从此出接口流出的路由。 NAT配置 选择“策略 > NAT策略 > 源NAT”,新建一条本地子网访问华为云不做NAT转换的策略。 图6 新建源NAT策略 表3 新建源NAT策略参数设置 参数名称 说明 源安全区域 本端子网所在安全区域。 目的区域
VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明: 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169
VPN本端子网和对端子网的数量有限制吗? 每个VPN网关配置的本地子网数量为50。 每个VPN连接支持配置的对端子网个数为50。 每个VPN连接的策略规则可加的数量为5。 每条策略规则可以有1个源网段和50个目的网段。 父主题: Console与页面使用
客户侧设备组网与基础配置假设 内网接口:ethnet0/0 所属zone为Trust,接口IP为b.b.b.1/24。 外网接口:ethnet0/1 所属zone为Untrust,接口IP为B.B.B.Y/24。 缺省路由:目标网段0.0.0.0/0 出接口ethnet0/1,下一跳为ethnet0/1的网关IP
VPN连接保活 如何防止VPN连接出现中断情况? 父主题: 站点入云VPN企业版
生命周期(Life Cycle): 86400 客户侧设备组网与基础配置假设 部署模式:网关模式。 内网接口:LAN 接口IP为192.168.10.1/24。 外网接口:线路1 即WAN1 接口IP为22.22.22.22/24。 缺省路由:线路1的网关IP,如22.22.22.1。 防
本地防火墙无法收到VPN子网的回复包怎么解决? 如果二阶段协商中需要检查云下的路由、安全策略、NAT和感兴趣流、协商策略信息。 路由设置:将访问云上子网的数据送入隧道。 安全策略:放行云下子网访问云上子网的流量。 NAT策略:云下子网访问云上子网不做源nat。 感兴趣流:两端感兴趣流配置互为镜像,使用IKE
错误码 功能说明 API调用发生错误时,会有错误结构体返回,该小节主要是对VPN封装接口(不包括OpenStack原生接口)错误结构的解释。 返回体格式 { "code": "VPN.0001", "message": "invalid request:xxx"
获取项目ID 操作场景 在调用接口的时候,部分URL中需要填入项目ID,所以需要获取到项目ID。有如下两种获取方式: 调用API获取项目ID。 从控制台获取项目ID。 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https
trust到untrust:放行本地VPC到云上VPC子网访问策略。 untrust到trust:放行云上VPC到本地VPC子网访问策略。 检查防火墙NAT配置 确认本地VPN网关是否在NAT设备后(一般是边界防火墙)进行部署,即VPN网关的出接口使用私有地址,然后在NAT设备上做公网地址转换。
VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明: 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169
策略名称:自主命名。 源IP类型:选择“子网和掩码”。 子网及掩码:填入流入本地设备的子网信息,多个子网逐条创建。 对端设备:调用IKE一阶段配置的对端IP,此处选择一阶段【设备名称】。 入站服务选择所有,生效时间选择全天,并启用该策略。 出站策略: 策略名称:自主命名策略。 源IP类型:选择“子网和掩码”。
型选择IPv4,接口选择外网接口,本地IP填写对接公网地址,对端IP地址填写华为云网关IP。 IKE策略中,协商模式与预共享秘密选择与华为相同配置,ike提议调用已创建提议,本端ID与对端ID均选择IPv4地址类型,值键入对应的公网IP。 保护数据流的源IP为本地私网网段,目的地址为华为云侧私网网段。
Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头中,从而通过身份认证,获得操作API的权限。Token可通过调用获取用户Token接口获取。 云服务存在两种部署方式:项目级服务和全局级服务。 项目级服务需要获取项
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
