检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
时需要确保对端网关设备支持ICMP功能,且对端接口地址已在对端网关上正确配置,否则可能导致流量不通。 静态路由模式的VPN连接的使能NQA探测失败会撤销路由,需要对端网关放通从VPN连接本端隧道接口地址到对端隧道接口地址的ICMP协议流量。 VPN连接的健康检查的NQA探测仅上报
VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:3.3.3.3 备EIP:4.4.4.4 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道,配置时两边需要互为镜像。 VPN连接1:169.254.70.1/30 VPN连接2:169
假定客户侧基础网络配置如下: 内网接口:GigabitEthernet1/0/0 所属zone为Trust,接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24,172.16.20.0/24,172.16.30.0/24,所属zone为Trust。 外网接口:GigabitEthernet1/0/1
您可以对服务端配置进行修改。 如果您设置了指定客户端IP,再修改服务端的客户端网段,客户端需要重新连接,用户的指定IP会被清理。 如果您修改了高级配置中的协议、端口等参数,需要重新下载并导入新的客户端配置文件,参数修改才能生效。 操作须知 修改端口、加密算法,会导致客户端断开后无法重新连接,需要
数据保护技术 站点入云VPN是基于IKE/IPsec协议族,提供IP层安全的隧道技术,为IP数据包提供机密性和完整性,避免用户数据在不安全网络(如Internet)上被窃取、泄漏和篡改。 用户在创建站点入云VPN连接时,可以在策略配置中对数据进行加密和认证算法的配置。 站点入云V
EIP地址在购买EIP时由系统自动生成,VPN网关1默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:1.1.1.2 主EIP2:2.2.2.2 Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道,配置时两边需要互为镜像。 VPN连接1:169.254.70.1/30 VPN连接2:169
需要和VPN网关的接入虚拟私有云保持一致。 tenant_vpc 本端子网 需要和VPN网关的接入子网保持一致。 192.168.2.0/24 专线虚拟接口 本端网关IP地址 用于专线虚拟网关和远端网关建立通信,配置时两边需要互为镜像。 1.1.1.1/30 远端网关IP地址 2.2.2.2/30
客户侧设备组网与基础配置假设 内网接口:ethnet0/0 所属zone为Trust,接口IP为b.b.b.1/24。 外网接口:ethnet0/1 所属zone为Untrust,接口IP为B.B.B.Y/24。 缺省路由:目标网段0.0.0.0/0 出接口ethnet0/1,下一跳为ethnet0/1的网关IP
看分配的本端隧道接口地址和对端隧道接口地址,对端设备VPN连接的隧道接口地址需要与本端隧道地址配置成镜像地址。 自动分配 本端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在VPN网关上的tunnel接口地址。 - 对端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。
生命周期(Life Cycle): 86400 客户侧设备组网与基础配置假设 部署模式:网关模式。 内网接口:LAN 接口IP为192.168.10.1/24。 外网接口:线路1 即WAN1 接口IP为22.22.22.22/24。 缺省路由:线路1的网关IP,如22.22.22.1。 防
VPN,以下简称S2C VPN)和终端入云VPN(Point-to-Cloud VPN,以下简称P2C VPN),站点入云VPN基于IPsec协议,终端入云VPN基于SSL协议,两者适用于不同的应用场景。 站点入云VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口,与用户数据中心的对端网关对应。
group 20、DH group 21。 默认配置为:DH group 14。 DH group 14 传输协议 IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:AH、ESP、AH-ESP。 默认配置为:ESP。 ESP 生命周期(秒) 安全联盟(SA—Security
group 20 DH group 21 默认配置为:DH group 14。 DH group 14 传输协议 IPsec传输和封装用户数据时使用的安全协议,目前支持的协议: AH ESP AH-ESP 默认配置为:ESP。 ESP 生命周期(秒) 安全联盟(SA—Security
group 20 DH group 21 默认配置为:DH group 14。 DH group 14 传输协议 IPsec传输和封装用户数据时使用的安全协议,目前支持的协议: AH ESP AH-ESP 默认配置为:ESP。 ESP 生命周期(秒) 安全联盟(SA—Security
DH group 20 DH group 21 Disable 默认配置为:DH group 15。 √ 传输协议 IPsec传输和封装用户数据时使用的安全协议。 目前支持的协议:ESP。 × 生命周期(秒) 安全联盟(Security Association,SA)的生存时间。 在超过生存时间后,安全联盟将被重新协商。
group 20 DH group 21 默认配置为:DH group 14。 DH group 14 传输协议 IPsec传输和封装用户数据时使用的安全协议,目前支持的协议: AH AH-ESP ESP 默认配置为:ESP。 ESP 生命周期(秒) 安全联盟(SA—Security
group 20 DH group 21 默认配置为:DH group 14。 DH group 14 传输协议 IPsec传输和封装用户数据时使用的安全协议,目前支持的协议: AH AH-ESP ESP 默认配置为:ESP。 ESP 生命周期(秒) 安全联盟(SA—Security
云下公网IP不能被二次NAT为设备的接口IP。 安全策略:放行云下子网访问云上子网的所有协议,放行两个公网IP间的ESP、AH及UDP的500和4500端口。 路由配置:添加访问云上子网的出接口路由为隧道接口或IPsec协商出口,注意出接口的下一跳ARP解析要可达。 更多故障排
假定客户侧基础网络配置如下: 内网接口:GigabitEthernet1/0/0 所属zone为Trust,接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24,172.16.20.0/24,172.16.30.0/24,所属zone为Trust。 外网接口:GigabitEthernet1/0/1
静态路由配置所示。 图1 静态路由配置 配置tunnel接口。 选择“高级 > 接口管理 > 逻辑接口”。 配置两个tunnel接口,信息填写完毕后单击“添加”。 关键参数配置如图 tunnel接口配置所示。 图2 tunnel接口配置 配置VPN连接。 选择“高级 > VPN > IPSec
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
