检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
方案概述 应用场景 终端入云VPN支持证书认证,服务端使用客户端CA证书验证客户端身份。 方案架构 支持多个客户端使用CA颁发的证书,登录连接VPN网关访问到云上VPC的场景。 图1 方案架构 方案优势 用户通过客户端证书认证方式连接到VPN网关,用户数据传输更安全。 约束与限制
String 功能说明:ike协商时的认证方法。 取值范围: pre-share:预共享密钥。 digital-envelope-v2:国密数字信封。 lifetime_seconds Integer 功能说明:表示SA的生存周期,当该生存周期超时后IKE SA将自动更新。 取值范围:60-604800,单位:秒。
查询网关下VPN服务端 功能介绍 根据P2C VPN网关ID,查询VPN服务端。 调用方法 请参见如何调用API。 URI GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers 表1 参数说明 名称 类型 是否必选
查询租户下所有VPN服务端 功能介绍 查询租户下所有VPN服务端。 调用方法 请参见如何调用API。 URI GET /v5/{project_id}/vpn-servers 表1 参数说明 名称 类型 是否必选 描述 project_id String 是 项目ID,可以通过获取项目ID获取项目ID。
客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。 处理步骤 导入的客户端CA证书不正确。 请在VPN网关的“服务端”页签中导入正确的CA证书,并删除错误的CA证书,再使用客户端重新接入。 配置文件中的证书和私钥不正确。 请重新复制客户端证书和私钥到客户端配置文件中,再使用客户端重新接入。
修改VPN服务端 功能介绍 根据VPN服务端ID,修改指定的VPN服务端。 调用方法 请参见如何调用API。 URI PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id} 表1 参数说明 名称 类型 是否必选
"encapsulation_mode": "tunnel" } } } 创建国密型静态路由模式连接。 预置条件: vgw_id对应的VPN网关为国密型VPN网关且已导入国密证书。 cgw_id对应的对端网关已导入对端网关证书。 POST https://{Endpo
分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:1.1.1.2 主EIP2:2.2.2.2 用户数据中心 待互通子网 172.16.0.0/16
配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成,VPN网关1默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:1.1.1.2 主EIP2:2.2.2.2 Tunnel接口地址 用于VPN网关1和对端网关
SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec
以上产品规格升降配,实际情况以console显示为准。 表1 站点入云VPN产品规格 对比项 基础型 专业型1 专业型1-非固定IP 专业型2 专业型2-非固定IP 国密型 独享网关资源 支持 支持 支持 支持 支持 支持 双连接 支持 支持 支持 支持 支持 支持 双活网关 支持 支持 支持 支持 支持 支持
分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:3.3.3.3 备EIP:4.4.4.4 VPN连接 Tunnel接口地址 用于VPN网关和
站点入云VPN策略配置参数说明所示。 表1 站点入云VPN策略配置参数说明 参数 说明 IKE策略 版本 v2 v1(版本安全性较低,如果用户设备支持v2版本,建议选择v2。国密型VPN连接,只支持“v1”。) 默认配置为:v2。 认证算法 认证哈希算法,支持的算法: SHA2-512 SHA2-384 SHA2-256
分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:1.1.1.2 主EIP2:2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关
分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:1.1.1.2 备EIP:2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和
分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:1.1.1.2 主EIP2:2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关
项目ID,可以通过获取项目ID获取项目ID。 vgw_id String 是 VPN网关ID。 请求消息 请求参数 无。 请求样例 GET https://{Endpoint}/v5/{project_id}/vpn-gateways/{vgw_id} 响应消息 响应参数 返回状态码为
商。如果协商失败,则在1小时内将状态设置为未连接,需要VPN两端重新进行通信才能恢复为连接状态。可以使用网络监控工具(例如:IP SLA)生成保持连接的Ping信号来避免这种情况发生。 IKE v2版本:如果VPN连接经历了一段无流量的空闲时间,VPN保持连接状态。 父主题: 热点问题
商。如果协商失败,则在1小时内将状态设置为未连接,需要VPN两端重新进行通信才能恢复为连接状态。可以使用网络监控工具(例如 IP SLA)生成保持连接的Ping信号来避免这种情况发生。 IKE v2版本:如果VPN连接经历了一段无流量的空闲时间,VPN保持连接状态。 父主题: 连接故障或无法PING通
选择靠近您所在地域的区域可以降低网络时延,从而提高访问速度。 不同区域的资源之间网络不互通。 不支持 规格 支持基础型、专业型1、专业型2、国密型四种类型。 部分支持,以管理控制台界面为准 关联模式 包括虚拟私有云和企业路由器。 不支持 企业路由器 仅“关联模式”为“企业路由器”时需要设置。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
