检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
VPN连接参数修改请参见VPN连接参数修改说明。 表2 VPN连接参数修改说明 参数 说明 是否支持修改 名称 VPN连接的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。 支持 对端网关 用于与VPC内的VPN互通。 支持 对端子网 用户数据中心中需要和华为云VPC通信的子网。 支持 策略配置 包括IKE策略和IPsec策略。
updated, please try again later. 网关正在更新中,请稍后重试。 请稍后重试。 400 VPN.0508 The gateway is being deleted. 网关正在删除中。 请稍后重试。 404 VPN.0509 The gateway does
对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。 VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。 172.16.0.0/16 接口分配方式
对端子网不能是VPC的预留网段,例如100.64.0.0/10、214.0.0.0/8。 如果互联子网关联了ACL规则,则需要确保ACL规则中已放通所有本端子网到对端子网的TCP协议端口。 VPN不支持对端设备配置策略的源和目的子网时使用地址组配置。 172.16.0.0/16 接口分配方式
168.0.0/24 192.168.1.0/24 HA模式 双活 接入虚拟私有云 可以和虚拟私有云相同,也可以和虚拟私有云不同。 本示例中以接入虚拟私有云和虚拟私有云相同为例。 tenant_vpc 接入子网 如果接入虚拟私有云和虚拟私有云相同,且接入子网和互联子网相同,请确保
录管理控制台访问VPN服务。 如果用户已注册账户,可直接登录管理控制台,在主页选择“网络 > 虚拟专用网络”。 如果未注册,请参见准备工作中的“注册账号并开通华为云”。
VPN网关参数修改请参见VPN网关参数修改说明。 表1 VPN网关参数修改说明 参数 说明 是否支持修改 名称 VPN网关的名称,只能由中文、英文字母、数字、下划线、中划线、点组成。 支持 EIP 可以通过先解绑EIP,然后绑定EIP的方式对EIP进行修改。 如果EIP已经创建了VPN连接,则无法解绑。 说明:
单击“配置规则”查看。 确认华为云ECS所在的安全组已经放通来自对端子网数据流。 互联子网的ACL规则配置不正确 确认互联子网的ACL规则中,是否已放通所有本端子网到对端子网的端口。 选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称。 在“基本信息”页签,记录互联子网信息。
单击“配置规则”查看。 确认华为云ECS所在的安全组已经放通来自对端子网数据流。 互联子网的ACL规则配置不正确 确认互联子网的ACL规则中,是否已放通所有本端子网到对端子网的端口。 选择“虚拟专用网络 > 企业版-VPN网关”,单击VPN网关名称。 在“基本信息”页签,记录互联子网信息。
配置验证 完成配置后,请选择“网络 > IPsec > IPsec”,单击对应策略列的“诊断”,发起连接协商。 连接状态详细在“IPsec-监控”中查看,诊断示意如图8所示。 图8 IPsec诊断 父主题: 站点入云VPN经典版
配置验证 完成配置后,请选择“网络 > IPsec > IPsec”,单击对应策略列的“诊断”,发起连接协商。 连接状态详细在“IPsec-监控”中查看,诊断示意如图8所示。 图8 IPsec诊断 父主题: 站点入云VPN经典版
图2 主备模式 约束与限制 对端网关需要支持标准IKE和IPsec协议。 本地数据中心和VPC间互通的子网需要没有重叠,且数据中心待互通的子网中不能包含100.64.0.0/10和214.0.0.0/8。 如果VPC使用DC/CC服务和其他VPC互通,则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。
图2 主备模式 约束与限制 对端网关需要支持标准IKE和IPsec协议。 本地数据中心和VPC间互通的子网需要没有重叠,且数据中心待互通的子网中不能包含100.64.0.0/10和214.0.0.0/8。 如果VPC使用DC/CC服务和其他VPC互通,则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。
基本配置中选择设备角色为对等/分支节点,IP地址类型选择IPv4,接口选择外网接口,本地IP填写对接公网地址,对端IP地址填写华为云网关IP。 IKE策略中,协商模式与预共享秘密选择与华为相同配置,ike提议调用已创建提议,本端ID与对端ID均选择IPv4地址类型,值键入对应的公网IP。 保护数
localbridge administrator(不区分大小写) 描述 用户自定义。 密码 长度范围是8到32个字符。 至少包含以下字符中的2种:大写字母、小写字母、数字、特殊字符`~!@#$%^&*()-_=+\|[{}];:'",<.>/? 和空格。 不能与用户名或倒序的用户名相同。
所属zone为Untrust,接口IP为B.B.B.Y/24。 缺省路由:目标网段0.0.0.0/0 出接口ethnet0/1,下一跳为ethnet0/1的网关IP,如B.B.B.1。 安全策略:Trust访问Untrust,源地址、目标地址及服务均为any,动作放行。 NAT策略:源地址为内网网段,目标地址为ANY,转换为出接口IP。
在“VPN网关”界面目标VPN网关所在行,选择“更多 > 修改基本信息”。 根据界面参数,修改VPN网关的名称和描述信息。 VPN网关名称只能由中文、英文字母、数字、下划线、中划线、点组成。 单击“确定”。 修改VPN网关带宽 操作场景: 当VPN网关带宽不能满足需求时,可修改VPN网关带宽。 操作步骤: 登录管理控制台。
选择“ 网络 > 地址转换 ”单击“新增”,配置NAT信息。 选择“ 访问控制 > 应用控制策略 ”单击“新增”,配置访问策略。 在本示例拓扑中,选择防火墙或DMZ区域专用的VPN设备,在策略及NAT配置同样存在不同之处。 使用DMZ区域专用VPN设备配置连接。 先配置网关地址两个方向的NAT信息
VPC子网1+空格+子网掩码+空格+/Tunnel100/+VPN主EIP。 其中,Tunnel100需要和配置隧道连接配置的编号保持一致,且对应隧道编号中destination的值需要和配置的EIP保持一致。 如果存在多个VPC子网,则每个EIP均需要配置多条路由。 配置安全策略。 ip address-set
listP2cVgwConnections 查询指定实例的标签信息 p2c-vpn-gateway listTagsForResource 查询租户在指定Project中实例类型的所有资源标签集合 p2c-vpn-gateway listTags 查询VPN访问策略列表 vpn-access-policy l
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
