检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用户创建对端网关后,可以修改已创建的对端网关名称,国密型对端网关同时支持添加或更换CA证书。 添加或更换CA证书相关操作请参见上传对端网关证书和更换对端网关证书。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 在页面左上角单击图标,选择“网络 > 虚拟专用网络VPN”。
终端入云VPN组网图所示。 图2 终端入云VPN组网图 访问方式 VPN服务提供了Web化的服务管理平台,即管理控制台。用户可以登录管理控制台访问VPN服务。 如果用户已注册账户,可直接登录管理控制台,在主页选择“网络 > 虚拟专用网络”。 如果未注册,请参见准备工作中的“注册华为账号并开通华为云”。
方案概述 应用场景 终端入云VPN支持证书认证,服务端使用客户端CA证书验证客户端身份。 方案架构 支持多个客户端使用CA颁发的证书,登录连接VPN网关访问到云上VPC的场景。 图1 方案架构 方案优势 用户通过客户端证书认证方式连接到VPN网关,用户数据传输更安全。 约束与限制
VPN)和终端入云VPN(Point-to-Cloud VPN,以下简称P2C VPN),站点入云VPN基于IPsec协议,终端入云VPN基于SSL协议,两者适用于不同的应用场景。 站点入云VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口,与用户数据中心的对端网关对应。
AES-128(此算法安全性较低,请慎用) 3DES(此算法安全性较低,请慎用) 默认配置为:AES-128。 终端入云VPN是采用SSL(Security Socket Layer)/TLS(Transport Layer Security)协议加密的方式,保证了数据的机密性和完整性,避免用户数据在不安全网络(如Internet)上被窃取、泄漏和篡改。
客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。 处理步骤 导入的客户端CA证书不正确。 请在VPN网关的“服务端”页签中导入正确的CA证书,并删除错误的CA证书,再使用客户端重新接入。 配置文件中的证书和私钥不正确。 请重新复制客户端证书和私钥到客户端配置文件中,再使用客户端重新接入。
组网拓扑如(IDC1-VPC1-VPC2-IDC2)所示,如何实现四个子网互联? 组网拓扑如图1所示。 图1 组网拓扑 IDC1可通过VPN或DC与VPC1互联。 两个VPC之间使用CC互联(同Region也可以使用对端连接)。 IDC2可通过VPN或DC与VPC2互联。 同时完
777 ping.sh。 使用文件执行ping命令: ./ping.sh x.x.x.x >>/dev/null & x.x.x.x是您需要ping的远端目标IP。 执行ping命令后,后台运行并生成x.x.x.x.log文件,执行命令: tail -f x.x.x.x.log 可以实时查看长ping结果。
重新接入,并查看客户端设备是否可以接收到VPN网关推送的路由。 Windows:使用route print命令。 Linux:使用ip route show all命令。 请确认ECS安全组的出方向和入方向规则都放通ICMP。 父主题: 客户端连接成功,业务无法正常使用
777 ping.sh。 使用文件执行ping命令: ./ping.sh x.x.x.x >>/dev/null & x.x.x.x是您需要ping的远端目标IP。 执行ping命令后,后台运行并生成x.x.x.x.log文件,执行命令: tail -f x.x.x.x.log 可以实时查看长ping结果。
777 ping.sh。 使用文件执行ping命令: ./ping.sh x.x.x.x >>/dev/null & x.x.x.x是您需要ping的远端目标IP。 执行ping命令后,后台运行并生成x.x.x.x.log文件,执行命令: tail -f x.x.x.x.log 可以实时查看长ping结果。
在配置文件中增加如下内容: net.ipv4.ip_forward = 1 执行/sbin/sysctl -p命令,使转发配置参数生效。 iptables配置。 确认关闭firewall或允许数据流转发,查询命令:iptables -L iptables -L Chain INPUT (policy
组网拓扑如(IDC1-VPC1-VPC2-IDC2)所示,如何实现四个子网互联? 组网拓扑如图1所示。 图1 组网拓扑 IDC1可通过VPN或DC与VPC1互联。 两个VPC之间使用CC互联(同Region也可以使用对端连接)。 IDC2可通过VPN或DC与VPC2互联。 同时完
置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令,验证网络互通情况。 父主题:
持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器配置的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器配置的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令,验证网络互通情况。
置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令,验证网络互通情况。 父主题:
vpngw-ali VPC 选择VPC信息。 vpc-ali 带宽规格 VPN转发带宽规格。 5Mbps IPsec-VPN - 开启 SSL-VPN - 关闭 计费周期 VPN网关的购买时长。 1个月 配置用户网关。 选择“VPN > 用户网关”,单击“创建用户网关”。 根据界面提示配置参数。
华北2(北京) VPC 选择VPC信息。 vpc-ali 带宽规格 VPN转发带宽规格。 5Mbps IPsec-VPN - 开启 SSL-VPN - 关闭 计费周期 VPN网关的购买时长。 1个月 配置用户网关。 选择“VPN > 用户网关”,单击“创建用户网关”。 根据界面提示配置参数。
在配置文件中增加如下内容: net.ipv4.ip_forward = 1 执行/sbin/sysctl -p命令,使转发配置参数生效。 iptables配置。 确认关闭firewall或允许数据流转发,查询命令:iptables -L iptables -L Chain INPUT (policy
vpngw-ali VPC 选择VPC信息。 vpc-ali 带宽规格 VPN转发带宽规格。 5Mbps IPsec-VPN - 开启 SSL-VPN - 关闭 计费周期 VPN网关的购买时长。 1个月 配置用户网关。 选择“VPN > 用户网关”,单击“创建用户网关”。 根据界面提示配置参数。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
