检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
客户端无法ping通ECS的IP地址 故障现象 客户端正常连接终端入云VPN网关,但不能ping通需要访问的ECS的IP地址。 可能原因 客户端设备或ECS禁止ping探测。 ECS安全组禁止ping探测。 VPN网关本端网段未包含需要访问的ECS的IP地址。 没有配置用户所属用户组,或者用户组没有配置对应访问策略。
计费说明(站点入云企业版VPN) 在站点入云企业版VPN章节下提及的VPN没有特殊说明,默认指站点入云企业版VPN。 计费项 表1 VPN计费项 计费方式 计费项一-VPN网关 计费项二-VPN连接 计费项三-EIP带宽 计费项四-ER费用 计费公式 包年/包月 VPN网关费用 VPN连接费用
两个Region创建的VPN连接状态正常,为什么不能ping通对端ECS? 安全组默认放行了出方向的所有端口,入方向需要按照实际需要添加放行规则,确认接收ping报文的ECS安全组放行了入方向的ICMP。 父主题: 连接故障或无法PING通
0/4。 server_certificate server_certificate object 否 服务端证书,推荐使用强密码算法的证书,如RSA3072/4096。 ssl_options ssl_options object 否 SSL隧道协议的可选配置项。 client_auth_type
客户端认证类型 选择“客户端认证类型 > 口令认证(本地)”。 选择“客户端认证类型 > 证书认证”。 单击“上传CA证书”,以文本编辑器(如Notepad++)打开CA证书PEM格式的文件,将证书内容复制到“上传CA证书”的“内容”文本框内。 单击“确定”后,可以对用户管理和访问策略进行配置。
方案概述 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时,可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中,用户数据中心和VPC之间采用两条VPN连接保证网络可靠性。当其中一条VPN连接故障时,系统可以自动切换到另一条VPN连接,保证网络不中断。 图1
如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离? 如果用户需要控制VPN站点只能访问VPC的部分网段或者部分主机,可以通过安全组进行控制。 配置示例:VPC内子网10.1.0.0/24下的ECS不允许访问客户侧的子网192.168.1.0/24, 配置方法:
server_certificate server_certificate object 否 服务端证书,隧道协议类型是SSL时必填。推荐使用强密码算法的证书,如RSA3072/4096。 client_ca_certificates Array of client_ca_certificate objects
两个Region创建的VPN连接状态正常,为什么不能ping通对端ECS? 安全组默认放行了出方向的所有端口,入方向需要按照实际需要添加放行规则,确认接收ping报文的ECS安全组放行了入方向的ICMP。 父主题: 连接故障或无法PING通
VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 父主题: 通过VPN实现专线加密
方案概述 应用场景 当用户数据中心需要和VPC下的ECS资源进行相互访问时,可以通过VPN快速实现云上云下网络互通。 方案架构 本示例中,用户数据中心和VPC之间采用两条VPN连接保证网络可靠性,连接1和连接2互为主备。当其中一条VPN连接故障时,系统可以自动切换到另一条VPN连接,保证网络不中断。
VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 父主题: 通过VPN Hub实现云下多分支网络互通
购买SSL证书。 申请SSL证书。 从云证书管理服务购买的证书会自动托管,无需手动操作。 下载根证书。 安装根证书。 将根证书以文本编辑器(如Notepad++)打开,复制证书内容到客户端配置文件中已有CA证书后面,在客户端配置文件中增加服务端根证书的方式请参考如何解决SSL证书链不完整?。
VPN网关和对端网关的IKE策略、IPsec策略、预共享密钥需要相同。 VPN网关和对端网关上配置的本端接口地址和对端接口地址需要互为镜像。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 父主题: 通过VPN实现双Internet线路上云
置。 对端网关配置的路由模式、预共享密钥、IKE/IPsec策略需要和华为云VPN连接配置保持一致。 6 步骤六:验证网络互通情况 登录ECS,执行ping命令,验证网络互通情况。 父主题: 通过站点入云VPN企业版实现数据中心和VPC互通
多人访问ECS,是否可以给每个客户机安装一套IPsec软件和云端建立VPN连接? 不可以。 VPN打通的是两个局域网的网络,用户侧数据中心局域网内多台主机都安装IPsec软件,实际情况是用户侧数据中心多个主机使用同一个公网IP与云端对接,云端的VPN网关会收到来自用户侧数据中心不
针对连接的DOS攻击,IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。 IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE
针对连接的DOS攻击,IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。 IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE
说明 取值样例 名称 支持修改。 ca-cert-server 内容 以文本编辑器(如Notepad++)打开签名证书PEM格式的文件,将证书内容复制到此处。 说明: 推荐使用强密码算法的证书,如RSA3072/4096。 RSA2048加密算法的证书存在风险,请慎用。 -----BEGIN
针对连接的DOS攻击,IKEv2协议上有针对性的解决方案。 IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。 IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
