检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。 IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来
SA未建立,常见情况为IPsec策略与数据中心远端的配置不一致。 检查ACL是否配置正确。 假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,则你在数据中心或局域网中的ACL应对你的每一个数据中心子网配
表1 对端网关参数说明 参数 说明 参数取值 名称 输入对端网关的名称。 cgw-001 标识 输入对端网关的IP。 IP Address,22.xx.xx.22。 结果验证 在“对端网关”页面生成新创建的对端网关信息。 父主题: 通过企业版站点入云VPN实现数据中心和VPC互通
默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。 IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来
默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。 IKEv1存在的安全风险 IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来
默认配置为:SHA2-256。 √ 加密算法 加密算法,支持的算法: AES-256-GCM-16 AES-128(此算法安全性较低,请慎用) AES-192(此算法安全性较低,请慎用) AES-256(此算法安全性较低,请慎用) 默认配置为:AES-128 √ DH算法 支持的算法 : Group 14(此算法安全性较低,请慎用)
类型 描述 id String 证书ID,为CCM(云证书管理服务)中已上传证书的证书ID。若证书在CCM中被删除后,该ID为空 name String 证书名,为CCM(云证书管理服务)中已上传证书的证书名 issuer String 功能说明:证书颁发者。 取值范围:1-256个字符。
name String 否 证书名称,不填时自动生成 取值范围:1-64个字符,支持数字、英文字母、中文(\u4e00 - \u9fa5)、_(下划线)、-(中划线) content String 是 功能说明:证书内容,推荐使用强密码算法的证书,如RSA3072/4096。 格式: -----BEGIN
静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 说明: 对端子网可以和本端子网重叠,但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214
类型 描述 id String 证书ID,为CCM(云证书管理服务)中已上传证书的证书ID。若证书在CCM中被删除后,该ID为空 name String 证书名,为CCM(云证书管理服务)中已上传证书的证书名称 issuer String 功能说明:证书颁发者。 取值范围:1-256个字符。
ca-cert-server 内容 以文本方式打开签名证书PEM格式的文件(后缀名为“.pem”),将证书内容复制到此处。 说明: 推荐使用强密码算法的证书,如RSA3072/4096。 RSA2048加密算法的证书存在风险,请慎用。 -----BEGIN CERTIFICATE-----
名称 VPN连接的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。 支持 BGP ASN 仅“路由模式”选择“动态BGP”时需要设置。 不支持 网关IP 对端网关和VPN网关通信的IP地址,该网关IP地址值必须是静态地址。 请确认数据中心或私有网络中的防火墙规则已经放通UDP端口4500。
SHA2-256 加密算法 加密算法,支持的算法: AES-128 AES-192 AES-256 3DES(此算法安全性较低,请慎用) 默认配置为:AES-128。 AES-128 DH算法 Diffie-Hellman密钥交换算法,支持的算法: Group 1(此算法安全性较低,请慎用)
格式:"点分十进制/掩码"格式,例如192.168.1.0/24 约束: 客户端网段不能和网关所在VPC默认路由表中的路由存在冲突 客户端网段不能和本服务端中本端网段列表的网段存在冲突 客户端网段地址池的IP地址数量需大于网关最大连接数的四倍 客户端网段不能使用以下特殊网段:0.0.0.0/8, 127.0.0.0/8
说明 取值样例 认证算法 认证哈希算法,支持的算法: MD5(此算法安全性较低,请慎用) SHA1(此算法安全性较低,请慎用) SHA2-256 SHA2-384 SHA2-512 默认配置为:SHA2-256。 SHA2-256 加密算法 加密算法,支持的算法: AES-128 AES-192
说明 取值样例 认证算法 认证哈希算法,支持的算法: MD5(此算法安全性较低,请慎用) SHA1(此算法安全性较低,请慎用) SHA2-256 SHA2-384 SHA2-512 默认配置为:SHA2-256。 SHA2-256 加密算法 加密算法,支持的算法: AES-128 AES-192
静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 说明: 对端子网可以和本端子网重叠,但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含;不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段,例如100.64.0.0/10、214
自定义配置 表3 IKE策略 参数 说明 取值样例 认证算法 认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5。 默认配置为:SHA2-256。 SHA2-256 加密算法 加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(有安全风险不推荐)。
1.2 协商模式 加密算法 认证算法 DH分组 SA生存周期 LocalId RomoteId IPsec策略 加密算法 需要和表 VPN连接参数说明配置的IPsec策略保持一致。 说明: NAT穿越功能必须配置为开启。 加密算法:AES-128 认证算法:SHA2-256 DH分组:Group
1.2 协商模式 加密算法 认证算法 DH分组 SA生存周期 LocalId RomoteId IPsec配置 加密算法 IPsec配置需要和华为云VPN连接IPsec策略配置保持一致。 说明: NAT穿越功能必须配置为开启。 加密算法:AES-128 认证算法:SHA2-256 DH分组:Group
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
