检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
、云上子网以及两端的网关公网IP信息。 其次按照云端VPN的协商策略信息完成用户侧数据中心设备的IPsec配置,并开启云上VPC主机关联的安全组的出入方向的ICMP报文。 路由设置:用户侧数据中心设备从子网的网关设备开始至VPN对接设备,逐跳添加去往云端子网的路由,下一跳指向连接
AES-256-GCM-16 AES-128(此算法安全性较低,请慎用) AES-192(此算法安全性较低,请慎用) AES-256(此算法安全性较低,请慎用) 默认配置为:AES-128 √ DH算法 支持的算法 : Group 14(此算法安全性较低,请慎用) Group 15 Group
Forward Secrecy)即完美前向安全功能,用来配置IPsec隧道协商时使用。 PFS组支持的算法: DH group 1(此算法安全性较低,请慎用) DH group 2(此算法安全性较低,请慎用) DH group 5(此算法安全性较低,请慎用) DH group 14
缺省策略之上。 安全策略配置 选择“策略 > 安全策略 > 安全策略”,新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域,一般为untrust。
缺省策略之上。 安全策略配置 选择“策略 > 安全策略 > 安全策略”,新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域,一般为untrust。
Secrecy)即完美前向安全功能,配置IPsec隧道协商时使用。 PFS组支持的算法: Disable(此算法安全性较低,请慎用)。 DH group 1(此算法安全性较低,请慎用)。 DH group 2(此算法安全性较低,请慎用)。 DH group 5(此算法安全性较低,请慎用)。
14 版本 IKE密钥交换协议版本,支持的版本:v1(有安全风险不推荐)、v2。 默认配置为:v2。 v2 生命周期(秒) 安全联盟(SA—Security Association)的生存时间,单位:秒。 在超过生存时间后,安全联盟将被重新协商。 默认配置为:86400。 86400
为华为云私网的IP(推荐选择真实可用地址)。 接口配置: 在导航栏安全域下新建一个VPN的安全域,进行命名为VPN,类型选择三层安全域。 在导航栏接口下新建一隧道接口,完成名称编号,所属安全域(划入新建的VPN安全域);IP配置选择静态IP,不填写IP信息;隧道类型为IPsec VPN,隧道绑定配置选择已创建的IKE
虚拟私有云 弹性云服务器(Elastic Cloud Server,ECS) 通过ECS服务,定义安全组中的规则,将VPC中的弹性云服务器划分成不同的安全域,以提升弹性云服务器访问的安全性。 弹性云服务器 企业路由器(Enterprise Router,ER) 通过企业路由器ER,
所有服务,生效时间选择全天,勾选启用该策略,安全选项调用已配置的安全提议,勾选启用该策略和密钥完美向前保密(PFS)。 特殊配置:勾选PFS后二阶段D-H组与第一阶段相同,云下存在多个子网网段时,每一个出站策略均需要配置对端设备、安全选项和PFS。 防火墙规则设置:增加VPN-L
接异常,甚至出现连接不可用的现象。 建议您使用出口的防火墙设备配置VPN与云端进行对接。建立VPN时可以选择多个网段,结合云上安全组或用户侧数据中心安全策略,限定属于开发人员主机才能访问云端ECS。 父主题: 组网与使用场景
我创建的VPN连接有几个隧道? 如何在已创建的VPN连接中,限定特定的主机访问云上子网? VPN是否启动了DPD检测机制? 如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离? 修改VPN连接的配置会造成连接重建吗? 华为云对接AWS后,为何不可以从AWS向华为云发起协商? 对接云时,如何配置DPD信息?
我创建的VPN连接有几个隧道? 如何在已创建的VPN连接中,限定特定的主机访问云上子网? VPN是否启动了DPD检测机制? 如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离? 修改VPN连接的配置会造成连接重建吗? 华为云的VPN对接AWS后,为何不可以从AWS向华为云的VPN发起协商?
0/24 ER 关联VPC1和VPC2的企业路由器。 ECS 3个ECS分别位于不同的VPC内,VPC中的ECS如果位于不同的安全组,需要在安全组中添加规则放通对端安全组的网络。 VPN网关1 接入子网 用于VPN网关和VPC通信,请确保选择的接入子网存在4个及以上可分配的IP地址。 192
协议选择any,动作允许。 安全提议:IKE参数与IPsec参数与华为云配置一致,注意IKE版本只勾选与华为云匹配的选项,推荐开启周期性DPD检测。 安全策略:添加客户侧私网网段与华为云私网网段互访的安全策略,服务为ANY,动作允许,推荐置顶这两条安全策略规则。 NAT策略:添加
监控虚拟专用网络 监控是保持VPN可靠性、可用性和性能的重要部分,通过监控,用户可以观察VPN资源。为使用户更好地掌握自己的VPN运行状态,云平台提供了云监控服务。您可以使用该服务监控您的VPN,执行自动实时监控、告警和通知操作,帮助您更好地了解VPN的各项性能指标。 父主题: 监控
高级配置IPsec参数中封装模式、安全协议、认证算法、加密算法、PFS、生存时间均须要与华为云配置一致,建议开通DPD按时检测。 配置安全策略:添加客户侧私网网段与华为云私网网段互访的安全策略,服务为ANY,动作pass,推荐置顶这两条安全策略规则。 NAT策略:添加源地址为客
部分设备厂商默认关闭了PFS功能,请查询设备对应用户手册进行操作。 配置过程中,请确认云和对端网关侧PFS配置一致,否则会导致协商失败。 为了增强安全性,建议云和对端网关侧均开启PFS。 父主题: Console与页面使用
Private Network,以下简称VPN),用于在远端用户和虚拟私有云(Virtual Private Cloud,以下简称VPC)之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时,您可以通过VPN连通VPC。 默认情况下,在虚拟私有云(VPC)中的弹性云
用户侧数据中心配置VPN设备 配置用户侧数据中心公网IP,在支持IPsec VPN的设备上完成IPsec协商的一、二阶段配置。 进行网络路由、NAT和安全策略配置。 父主题: 组网与使用场景
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
