检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离? 如果用户需要控制VPN站点只能访问VPC的部分网段或者部分主机,可以通过安全组进行控制。 配置示例:不允许客户侧的子网192.168.1.0/24访问VPC内子网10.1.0.0/24下的ECS。 配置方法:
如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离? 如果用户需要控制VPN站点只能访问VPC的部分网段或者部分主机,可以通过安全组进行控制。 配置示例:VPC内子网10.1.0.0/24下的ECS不允许访问客户侧的子网192.168.1.0/24, 配置方法:
Connecting to host 172.16.10.1, port 20001 [ 4] local 192.168.10.1 port 20001 connected to 172.16.10.1 port 20001 [ ID] Interval Transfer
以ping通。 云下网关与VPN网关可以互访UDP 500、4500报文。 云下公网IP访问VPN网关IP时,没有发生源端口NAT转换,如果存在NAT穿越,端口号在nat穿越后不得发生改变。 两端的IKE协商参数配置一致。 NAT穿越场景中,云下ID标识类型选择IP,IP值为NAT转换后的公网IP。
组网拓扑如(IDC1-VPC1-VPC2-IDC2)所示,如何实现四个子网互联? 组网拓扑如图1所示。 图1 组网拓扑 IDC1可通过VPN或DC与VPC1互联。 两个VPC之间使用CC互联(同Region也可以使用对端连接)。 IDC2可通过VPN或DC与VPC2互联。 同时完
组网拓扑如(IDC1-VPC1-VPC2-IDC2)所示,如何实现四个子网互联? 组网拓扑如图1所示。 图1 组网拓扑 IDC1可通过VPN或DC与VPC1互联。 两个VPC之间使用CC互联(同Region也可以使用对端连接)。 IDC2可通过VPN或DC与VPC2互联。 同时完
步骤二:配置服务端 前提条件 请确认已通过云证书管理服务托管服务端证书。如何托管服务端证书,请参见使用CCM托管服务端证书。 操作步骤 配置服务端。 在“终端入云VPN网关”页面,单击目标VPN网关操作列的“配置服务端”。 根据界面提示配置参数,单击“确定”。 本示例仅对关键参数进行说明,全量参数请参见配置服务端。
企业版-VPN连接”,两条VPN连接状态显示为正常。 用户数据中心内服务器和华为云VPC子网内服务器可以相互Ping通。 父主题: 通过VPN实现专线加密
时购买一条与其关联的VPN连接。 前置条件 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。
通过VPN实现专线加密 方案概述 组网和资源规划 配置DC 配置VPN 结果验证 父主题: 站点入云VPN企业版
步骤一:创建VPN网关 前提条件 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
请确认已获取服务端证书及私钥,并已创建用户及用户密码。如何自签发证书,请参见通过Easy-RSA自签发证书(服务端和客户端共用CA证书)。 请确认已通过云证书管理服务(Cloud Certificate Manager,CCM)托管服务端证书。如何托管服务端证书,请参见使用CCM托管服务端证书。
操作步骤 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。
操作步骤 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 数据中心侧 用户数据中心1和2的VPN设备已经完成IPsec连
操作步骤 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 数据中心侧 用户终端设备已经完成VPN客户端软件相关配置。相关操作步骤请参见管理员指南。
云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。
认证算法:SHA2-256 加密算法:AES-128 PFS:DH Group15 传输协议:ESP 生命周期(秒):3600 父主题: 通过VPN实现专线加密
VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 父主题: 通过VPN实现专线加密
力。 约束与限制 每个ER网关最多可关联10个VPN网关。 最大规格为专业型2的单个VPN网关转发能力为2G,10个VPN网关的最大转发能力为20G。 父主题: 通过VPN负载分担实现云上云下大带宽流量互通
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
