检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
示例:Web配置华为USG防火墙 组网拓扑 云下华为USG为用户的出口防火墙,通过该设备配置VPN与华为云VPC连通,两端的子网信息和连接方式如图 拓扑连接所示。 图1 拓扑连接 用户侧信息: 网关:1.1.1.1。 子网:192.168.1.0/24。 华为云侧信息: 网关:1
选择华为云需要和用户数据中心通信的VPC。 vpc-001(192.168.0.0/16) 互联子网 用于VPN网关和用户数据中心的VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 华为云VPC需要与用户数据中心VPC互通的子网。
安全策略中需要添加本地公网IP与华为云网关IP的互访规则,协议为UDP的500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。 代理ID(待加密数据流的网段)请填写真实IP和掩码,请勿调用地址对象。 若客户侧网络存在多出口时,请确保客户侧访问华为云VPN网关IP及私网网
功能支持区域 以管理控制台实际上线区域为准。 场景描述 由于业务发展,企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接,实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关,且对端网关只能配置一个IP地址,推荐VPN网关使用双活模式,组网如图
创建对端网关 功能介绍 创建租户用于与VPN网关相连的对端网关。 调用方法 请参见如何调用API。 URI POST /v5/{project_id}/customer-gateways 表1 参数说明 名称 类型 是否必选 说明 project_id String 是 项目ID,可以通过获取项目ID获取项目ID。
上传VPN网关证书 功能介绍 国密型网关上传证书和私钥。 调用方法 请参见如何调用API。 URI POST /v5/{project_id}/vpn-gateways/{vgw_id}/certificate 表1 参数说明 名称 类型 是否必选 描述 project_id String
500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发,必须确保本地公网IP访问华为云的流量不被NAT。 确保访问目标子网的路由指向公网出接口下一跳。 待加密数据流的网段请填写真实IP和掩码,请勿调用地址对象。 若客户侧网
功能说明:查询记录数。 取值范围:1-1000。 默认值:1000。 offset Integer 否 功能说明:索引位置。从第offset条数据的下一条数据开始查询。 取值范围:最小值为0。 默认值:0。 请求消息 请求参数 表3 请求参数 名称 类型 是否必选 描述 without_any_tag
选择子网,表示用户数据中心或者私有网络与您选择的子网进行互通。 手动输入网段,表示用户数据中心或者私有网络与您配置的网段之间进行互通。 说明: 多个本端子网不支持子网网段重叠。 192.168.1.0/24, 192.168.2.0/24 远端网关 您的数据中心或私有网络中VP
子网(用户侧子网), 无需配置多个连接。 拟创建VPN连接的数量通常与用户数据中心数量有关,每条VPN连接可打通当前VPC与云下的一个数据中心网络。 请用户在购买包年/包月VPN网关时,根据规划连通的数据中心数量选择合适的VPN连接数。 当云侧的网段a1、a2与用户侧网段b1、b
连接。 在您自己数据中心的路由器或者防火墙上需要进行IPsec VPN隧道配置,具体配置方法取决于您使用的网络设备,请查询对应设备厂商的指导书。 本文以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。 假设数据中心的子网为192
500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发,需要确保本地公网IP访问华为云的流量不被NAT。 确保访问目标子网的路由指向公网出接口下一跳。 待加密数据流的网段请填写真实IP和掩码,请勿调用地址对象。 若客户侧网
修改网关规格 功能介绍 修改网关规格,当前仅支持按需计费网关。 调用方法 请参见如何调用API。 URI POST /v5/{project_id}/vpn-gateways/{vgw_id}/update-specification 表1 参数说明 名称 类型 是否必选 说明 project_id
云侧或用户侧协商策略、防火墙、路由表、域间策略、NAT配置、安全组等信息配置)而导致连接故障或无法PING通。 通常可使用以下方式排除故障: 检查VPN两侧协商信息 检查客户防火墙ACL和云端安全组配置 检查防火墙路由表 检查客户防火墙域间策略 检查防火墙NAT配置 检查VPN两侧协商信息
创建VPN连接 功能介绍 创建VPN连接,连接VPN网关与对端网关。 调用方法 请参见如何调用API。 URI POST /v5/{project_id}/vpn-connection 表1 参数说明 名称 类型 是否必选 说明 project_id String 是 项目ID,可以通过获取项目ID获取项目ID。
一条连接中断后流量可快速切换到另一条连接。 更安全:专线提供独立的线路,保证数据传输质量;VPN提供数据加密,保证数据传输安全。 约束与限制 VPN网关的本端子网与对端子网不能相同,即VPC和用户数据中心待互通的子网不能相同。 VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。
出现DPD超时的连接中断是因为两端网络访问无数据,在SA老化后发送DPD未得到对端响应而删除连接。 解决方法: 开启用户侧数据中心设备的DPD配置,测试两端的数据流均可触发连接建立; 在两端的主机中部署Ping shell脚本,也可在用户侧数据中心的子网的网关设备上配置保活数据,如NQA。 父主题: 连接故障或无法PING通
示例:HUAWEI USG6600配置 本章节以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。 假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192
VPN在完成两侧配置后,并不会自行建立连接,需要两侧主机间的数据流来触发隧道的建立。如果云上与用户侧数据中心间没有交互数据流,VPN的连接状态会一直处于Down状态。所谓的数据流,可以是真实的业务访问数据,也可以是主机间Ping测数据。 触发隧道建立的方式有两种,一种是通过建立连接间的网
VPN建立后您的数据中心或局域网无法访问弹性云服务器? 我们提供的安全组默认不允许任何源访问,请确认您的安全组是否配置允许远端的子网地址访问。 父主题: 连接故障或无法PING通
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
