检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
>STATE:1699599242,RECONNECTING,auth-failure,,,,, TLS Error: TLS handshake failed 可能原因 客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。 处理步骤 若VPN网关“
"openswan_IPsec":4500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 15087s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin
假定客户侧基础网络配置如下: 内网接口:GigabitEthernet1/0/0 所属zone为Trust,接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24,172.16.20.0/24,172.16.30.0/24,所属zone为Trust。 外网接口:GigabitEthernet1/0/1
IKE/IPsec策略配置。 配置VPN连接模式为路由模式或策略模式。 用户需要审视用户侧数据中心网关的路由配置,确保发往VPC的流量被路由到正确的出接口(即绑定IPsec策略的接口)。 父主题: 热点问题
配置IPsec VPN IKE一阶段配置 选择“VPN > IPsec VPN > 第三方对接 > 第一阶段 ”,确认线路出口(深信服设备会针对该接口自动下发VPN路由信息),单击“新增”。 图3 IKE一阶段配置 在弹窗界面配置一阶段基本信息和高级配置项,配置界面如图4所示。 图4 参数配置
配置VPN连接包括静态路由模式、BGP路由模式和策略模式。 用户需要审视用户侧数据中心网关的路由配置,确保发往VPC的流量被路由到正确的出接口(即绑定IPsec策略的接口)。 父主题: 组网与使用场景
用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。
用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。
用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。
用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。
16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明: 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。
本场景中选择接入虚拟私有云对应的接入子网。 192.168.2.0/24 配置虚拟接口。 虚拟接口参数说明如表3所示。详细全量参数解释请参见创建虚拟接口。 表3 虚拟接口参数说明 参数 说明 取值参数 名称 虚拟接口名称。 dcif_01 物理连接 选择可用的物理连接。 phlk_01 虚拟网关
IKE/IPsec策略配置。 指定感兴趣流(ACL)。 用户需要审视用户侧数据中心网关的路由配置,确保发往VPC的流量被路由到正确的出接口(即绑定IPsec策略的接口)。 在完成VPN配置后,只有命中感兴趣流的流量会进入VPN隧道,其它网络的访问都不受影响。 例如,云端的ECS绑定的EIP
IKE/IPsec策略配置。 指定感兴趣流(ACL)。 用户需要审视用户侧数据中心网关的路由配置,确保发往VPC的流量被路由到正确的出接口(即绑定IPsec策略的接口)。 在完成VPN配置后,只有命中感兴趣流的流量会进入VPN隧道,其它网络的访问都不受影响。 例如,云端的ECS绑定的EIP
需要绑定EIP时,可通过ACL来限定哪些流量可以通过EIP访问该ECS。 用户是否要保留EIP,与业务类型相关。如用户ECS可以通过VPN获取用户侧数据中心的数据,同时该ECS还向互联网用户提供服务(如web server),此时就需要保留EIP。 父主题: 公网地址
向用户侧数据中心发起业务,也可以反向。 用户在打通VPN以后,需要关注网络延迟和丢包情况,避免影响业务正常运行。 建议用户先运行ping,获取网络的丢包和时延情况。 父主题: 热点问题
向用户侧数据中心发起业务,也可以反向。 用户在打通VPN以后,需要关注网络延迟和丢包情况,避免影响业务正常运行。 建议用户先运行ping,获取网络的丢包和时延情况。 父主题: 组网与使用场景
向用户侧数据中心发起业务,也可以反向。 用户在打通VPN以后,需要关注网络延迟和丢包情况,避免影响业务正常运行。 建议用户先运行ping,获取网络的丢包和时延情况。 父主题: 产品咨询
向用户侧数据中心发起业务,也可以反向。 用户在打通VPN以后,需要关注网络延迟和丢包情况,避免影响业务正常运行。 建议用户先运行ping,获取网络的丢包和时延情况。 父主题: 热点问题
向用户侧数据中心发起业务,也可以反向。 用户在打通VPN以后,需要关注网络延迟和丢包情况,避免影响业务正常运行。 建议用户先运行ping,获取网络的丢包和时延情况。 父主题: 组网与使用场景
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
