检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
登录AR路由器Web管理界面。 此处以AR651 V300R019C13SPC200为例,不同设备型号、系统版本的Web管理界面可能存在差异,配置时请以对应设备型号、系统版本的产品文档为准。 配置VPN连接。 选择“高级 > VPN > IPSec > IPSec策略管理”。 配置
兴趣流,使用IP+掩码的格式进行配置配置的条目数等于本端子网与远端子网数量的乘积。 高级配置:选择默认配置即可,可以开启VPN隧道检测,源地址为本地私网IP和目标地址为华为云私网的IP(推荐选择真实可用地址)。 接口配置: 在导航栏安全域下新建一个VPN的安全域,进行命名为VPN,类型选择三层安全域。
查询VPN网关证书详情 功能介绍 根据VPN网关ID,查询VPN网关已导入的证书。 调用方法 请参见如何调用API。 URI GET /v5/{project_id}/vpn-gateways/{vgw_id}/certificate 表1 参数说明 名称 类型 描述 project_id
并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略以API接口为粒度进行
动作为不做转换的nat规则,并将该规则置顶。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则,协议为UDP的500、4500和IP协议ESP与AH,确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发,需要确保本地公网IP访问华为云的流量不被NAT。
示例六:创建用户和用户组 操作场景 本章节指导用户通过调用API来创建VPN用户和用户组。 前提条件 已创建终端入云VPN网关。 已创建VPN服务端,且服务端的认证方式为口令认证,具体参见创建服务端。 您需要确定调用API的Endpoint。 当您使用Token认证方式完成认证鉴
创建VPN连接时如何选择IKE的版本? VPN使用的DH group对应的比特位是多少? 是否可以通过VPN实现跨境访问网站? 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联? IPsec VPN和SSL VPN在使用场景和连接方式上有什么区别? 创建VPN都会产生哪些费用,VPN网关IP收费吗?
如何选择购买VPN带宽的大小? VPN连接支持使用国产加密算法吗? 创建VPN连接时如何选择IKE的版本? VPN使用的DH group对应的比特位是多少? 是否可以通过VPN实现跨境访问网站? 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联? IPsec VPN和SSL
客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。 处理步骤 若VPN网关“服务端”页签中导入的客户端CA证书不正确,请在VPN网关的服务端中导入正确的CA证书,并删除错误的CA证书,再使用客户端重新接入。 若客户端配置文件中的证书和私钥不正确,请
由于DC和VPN是主备链路,为了防止网络环路,DC虚拟网关和VPN网关的AS号必须保持一致,本示例为64512。 ER的AS号和DC、VPN的一样或者不一样均可,本示例为64512。 线下IDC侧的AS号,不能和云上服务的AS号一样,请根据客户的实际情况填写,本示例为65525。 父主题: 通过企业路由器构建DC/VPN双链路主备混合云组网
方案概述 应用场景 终端入云VPN支持证书认证,服务端使用客户端CA证书验证客户端身份。 方案架构 支持多个客户端使用CA颁发的证书,登录连接VPN网关访问到云上VPC的场景。 图1 方案架构 方案优势 用户通过客户端证书认证方式连接到VPN网关,用户数据传输更安全。 约束与限制
客户端需要访问的目标网段。 支持“选择子网”和“输入网段”两种方式。 192.168.1.0/24 客户端网段 分配给客户端虚拟网卡地址的网段。 172.16.0.0/16 认证信息 服务端证书 选择“上传证书”。 上传证书,请参见通过云证书管理服务CCM托管服务端证书。 cert-server
VPN网关带宽计费方式在选择按带宽计费和按流量计费时有什么差别? VPN网关带宽的计费方式是针对VPN网关的。 如果选择按需付费方式(即后付费),可以选择按带宽或按流量计费 : 按带宽计费,计费的周期为1小时,费用也会因带宽大小存在差异。 按流量计费,统计1小时内产生的流量费用,调整带宽大小不
修改客户端CA证书 功能介绍 根据客户端CA证书ID,更新指定的客户端CA证书。 调用方法 请参见如何调用API。 URI PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-ce
VPN支持为每个用户创建独立的VPN网关,提供租户网关隔离防护能力。 支持AES国际、SM国密等加密算法,满足多种安全要求。 支持多种认证模式,包括证书认证、口令认证。 高可用 双连接:网关提供两个接入地址,支持一个对端网关创建两条相互独立的VPN连接,一条连接中断后流量可快速切换到另一条连接。
IPv4策略模式的策略规则组。仅当style为POLICY且VPN网关的IP协议版本号为IPv4时返回实际的策略规则组。 policy_rules_v6 Array of PolicyRule objects IPv6策略模式的策略规则组。仅当style为POLICY且VPN网关的IP协议
vpc:subnets:get √ x 查询一个网关下的服务端信息 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers vpn:p2cVpnGateway:listServers - √ x 更新指定网关的服务端 PUT /v5/{p
PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。 IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec
默认配置为:Group 14。 Group 14 版本 IKE密钥交换协议版本,支持的版本: v1(有安全风险不推荐) v2 默认配置为:v2。 v2 生命周期(秒) 安全联盟(SA—Security Association)的生存时间,单位:秒。 在超过生存时间后,安全联盟将被重新协商。
删除客户端CA证书 功能介绍 根据客户端CA证书ID,删除客户端CA证书。 调用方法 请参见如何调用API。 URI DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-ce
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
