检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
每租户在每区域支持创建的VPN网关数量 2 每个VPC最多创建1个VPN网关。 申请更多配额,请参见提交工单。 VPN网关TCP协议的最大报文长度默认设置为1300字节。 对端网关限制 表2 对端网关限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每租户在每区域支持创建的对端网关数量
否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略,用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置
0/10,214.0.0.0/8。 172.16.0.0/24 预共享密钥、确认密钥 和对端网关连接的预共享密钥需要保持一致。 请根据实际设置 策略规则 用于定义本端子网到对端子网之间具体进入VPN连接加密隧道的数据流信息,由源网段与目的网段来定义。 源网段 源网段必须包含部分本端子网。其中,0
选择3中创建的VPN网关。 vpngw-tx 对端网关 选择“选择已有”,然后选择4中创建的对端网关。 hwvpn-01 预共享密钥 需要和华为云VPN连接设置的预共享密钥保持一致。 请根据实际设置 协商类型 选择“主动协商”。 主动协商 通信模式 - 选择“目的路由”。 目的路由 高级配置 DPD 华为云DPD默认为45秒,不支持配置。
企业路由器(Enterprise Router,ER) 通过企业路由器ER,用户数据中心上云可以实现VPN和专线双通道互备。 仅企业版VPN网关支持,经典版VPN网关不支持。 企业路由器 NAT网关(NAT Gateway) 通过NAT网关服务,可以实现用户数据中心服务器访问公网或为公网提供服务。 NAT网关 弹性公网IP(EIP)
0/10,214.0.0.0/8。 172.16.0.0/16 预共享密钥、确认密钥 和对端网关连接的预共享密钥需要保持一致。 请根据实际设置 策略规则 用于定义本端子网到对端子网之间具体进入VPN连接加密隧道的数据流信息,由源网段与目的网段来定义。 源网段 源网段必须包含部分本端子网。其中,0
对端网关的Tunnel隧道IP地址。 169.254.70.1/30 预共享密钥、确认密钥 和防火墙连接的预共享密钥需要保持一致。 请根据实际设置 策略配置 和防火墙的策略配置需要保持一致。 IKE策略 认证算法:SHA2-256 加密算法:AES-128 DH算法:Group 14 版本:v2
对端网关的Tunnel隧道IP地址。 169.254.70.1/30 预共享密钥、确认密钥 和防火墙连接的预共享密钥需要保持一致。 请根据实际设置 策略配置 和防火墙的策略配置需要保持一致。 IKE策略 版本:v2 认证算法:SHA2-256 加密算法:AES-128 DH算法:Group 14 生命周期(秒):86400
端接口地址在对端网关上已配置。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关连接的预共享密钥需要保持一致。 请根据实际设置 策略配置 和防火墙的策略配置需要保持一致。 IKE策略 认证算法:SHA2-256 加密算法:AES-128 DH算法:Group 15 版本:v2
阿里云不支持NQA功能。 不勾选“使能NQA” 预共享密钥、确认密钥 和对端网关连接的预共享密钥需要保持一致。 请根据实际设置 策略配置 和防火墙的策略配置需要保持一致。 整体支持情况见表 数据规划。 IKE策略 版本:v2 认证算法:SHA2-256 加密算法:AES-128 DH算法:Group
要允许ICMP响应请求。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关连接的预共享密钥需要保持一致。 请根据实际设置 策略配置 和防火墙的策略配置需要保持一致。 IKE策略 版本:v2 认证算法:SHA2-256 加密算法:AES-128 DH算法:Group 14 生命周期(秒):86400
用户侧数据中心网关开启DPD配置,探测次数不少于5次; 连接过程中修改参数两侧同步修改; 设置用户侧数据中心设备TCP MAX-MSS为1300; 确保用户侧数据中心出口有足够的带宽可被VPN使用; 确认VPN连接可被两端触发协商,开启用户侧数据中心设备的主动协商配置; 两端子网进行长Ping操作(脚本内容如下)。 #
地址在对端网关上已配置。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关连接的预共享密钥需要保持一致。 请根据实际设置 策略配置 和防火墙的策略配置需要保持一致。 IKE策略 版本:v2 认证算法:SHA2-256 加密算法:AES-128 DH算法:Group 14 生命周期(秒):86400
用户侧数据中心网关开启DPD配置,探测次数不少于5次; 连接过程中修改参数两侧同步修改; 设置用户侧数据中心设备TCP MAX-MSS为1300; 确保用户侧数据中心出口有足够的带宽可被VPN使用; 确认VPN连接可被两端触发协商,开启用户侧数据中心设备的主动协商配置; 两端子网进行长Ping操作(脚本内容如下)。 #
用户侧数据中心设备开启DPD配置,探测次数不少于5次; 连接过程中修改参数两侧同步修改; 设置用户侧数据中心设备TCP MAX-MSS为1300; 确保用户侧数据中心出口有足够的带宽可被VPN使用; 确认VPN连接可被两端触发协商,开启用户侧数据中心设备的主动协商配置; 两端子网进行长Ping操作(脚本内容如下)。 #
)”取值一般为3600(1小时),会在第54分钟时重新发起协商。如果协商成功,则保持连接状态至下一轮协商。如果协商失败,则在1小时内将状态设置为未连接,需要VPN两端重新进行通信才能恢复为连接状态。可以使用网络监控工具(例如:IP SLA)生成保持连接的Ping信号来避免这种情况发生。
Certificate Manager,CCM)托管服务端证书。如何托管服务端证书,请参见通过云证书管理服务CCM托管服务端证书。 数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/16 VPN网关 互联子网 用于VPN网关和VPC通信,请确
结果验证 大约5分钟后,查看VPN连接状态。 选择“虚拟专用网络 > 企业版-VPN连接”,8条VPN连接状态显示为正常。 用户数据中心内的服务器和华为云VPC子网内服务器可以相互Ping通。 通过对端网关的监控来查看入网流量,可以负载分担到各个网关上。 父主题: 通过VPN负载分担实现云上云下大带宽流量互通
首先按照网络的连接规划,明确用户侧数据中心子网、云上子网以及两端的网关公网IP信息。 其次按照云端VPN的协商策略信息完成用户侧数据中心设备的IPsec配置,并开启云上VPC主机关联的安全组的出入方向的ICMP报文。 路由设置:用户侧数据中心设备从子网的网关设备开始至VPN对
)”取值一般为3600(1小时),会在第54分钟时重新发起协商。如果协商成功,则保持连接状态至下一轮协商。如果协商失败,则在1小时内将状态设置为未连接,需要VPN两端重新进行通信才能恢复为连接状态。可以使用网络监控工具(例如 IP SLA)生成保持连接的Ping信号来避免这种情况发生。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
