检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过Easy-RSA自签发证书(服务端和客户端使用不同CA证书) 场景描述 Easy-RSA是一个开源的证书管理工具,用于帮助用户生成和管理数字证书。 本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端使用不同CA证书。本示例使用的软件版本为Easy-RSA
条VPN连接配置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令,验证网络互通情况。
PN连接配置保持一致。 5 AR命令配置界面 AR路由器侧操作步骤 AR路由器配置的本端隧道接口地址/对端隧道接口地址需要和VPN网关互为镜像配置。 AR路由器配置的连接模式、预共享密钥、IKE/IPsec策略需要和VPN连接配置保持一致。 6 - 结果验证 执行ping命令,验证网络互通情况。
在用户创建VPN网关时,系统会随机分配一个IP地址和VPC进行绑定,且这个IP地址也只能绑定1个VPC。 因为VPN的网关IP存在预置数据,所以VPN网关IP和EIP不能转换,在创建VPN网关时也不能指定IP地址。删除VPN网关时会释放IP地址与VPC的绑定关系;重新创建VPN网关时系统会重新随机分配网关IP地址。
0/24 远端子网:192.168.1.0/24 192.168.2.0/24 远端网关:11.11.11.11 说明: 网关IP与VPC1互为镜像。 VPN资源与VPC1相同。 本端网关:11.11.11.11 本端子网:192.168.1.0/24; 192.168.2.0/24 远端网关:1
手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明: 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.71.1/30 检测机制
为确保该策略优先匹配,请将该策略置顶。 请注意接口地址出外网不做NAT转换。 例如已配置缺省策略:源区域为any,访问目标区域any,出口转换为接口地址。请额外添加一条NAT策略:源区域为local,目标区域为any,转换方式为不做NAT转换,并将该策略置于缺省策略之上。 安全策略配置 选择“策略
互为对端的ECS都使用Windows系统,测试速率可达180Mbit/s,使用iperf3和filezilla(是一款支持ftp的文件传输工具)测试均满足带宽要求。 基于TCP的FTP协议有拥塞控制机制,180Mbit/s为平均速率,且IPsec协议会增加新的IP头,因此10%左右的速率误差在网络领域是正常现象。
11.0/24 远端子网:192.168.22.0/24 192.168.33.0/24 远端网关:2.2.2.2 网关IP与VPC1互为镜像 VPN资源与VPC1相同 VPN连接子网配置 本端网关:2.2.2.2 本端子网:192.168.22.0/24 192.168.33.0/24
为确保该策略优先匹配,请将该策略置顶。 请注意接口地址出外网不做NAT转换。 例如已配置缺省策略:源区域为any,访问目标区域any,出口转换为接口地址。请额外添加一条NAT策略:源区域为local,目标区域为any,转换方式为不做NAT转换,并将该策略置于缺省策略之上。 安全策略配置 选择“策略
老版VPN在使用过程中带宽无法保障,一个网关只能创建一条连接,用户可以删除网关后重建(影响业务); 默认情况下变更至新版VPN网关的带宽规格为10M,用户后期可根据实际需要调整带宽大小; 变更后转为包年/包月的网关支持到期后续费带宽降配。 父主题: 产品咨询
互为对端的ECS都使用Windows系统,测试速率可达180Mbit/s,使用iperf3和filezilla(是一款支持ftp的文件传输工具)测试均满足带宽要求。 基于TCP的FTP协议有拥塞控制机制,180Mbit/s为平均速率,且IPsec协议会增加新的IP头,因此10%左右的速率误差在网络领域是正常现象。
修改已创建的对端网关 场景描述 用户创建对端网关后,可以修改已创建的对端网关名称,国密型对端网关同时支持添加或更换CA证书。 添加或更换CA证书相关操作请参见上传对端网关证书和更换对端网关证书。 操作步骤 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。 在页面左上角单击图标,选择“网络
接口分配方式:本示例选择“自动分配”。 路由模式:请选择“BGP”。 ECS 1 名称:根据实际情况填写,本示例为ecs-demo。 镜像:请根据实际情况选择,本示例为公共镜像(CentOS 8.2 64bit)。 网络: 虚拟私有云:选择您的虚拟私有云,本示例为vpc-for-er。 子网:选
信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 Region分为通用Region和专属Region两种。 通用Region指面向公共租户提供通用云服务的Region。 专属
单击“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“查看服务端”。 在“服务端”界面,选择服务端证书操作列,单击“更换”,进入“更换服务端证书”弹窗页面。 选择“服务端证书”,单击“确定”。 父主题: 终端入云VPN服务端管理
经典版VPN费用管理 按需按带宽转包年/包月 按需按带宽进行带宽升配或降配 按需按带宽与按需按流量相互转换 按需按流量转包年/包月 包年/包月VPN连接数升配 包年/包月EIP带宽升配/降配 父主题: 站点入云VPN经典版
证书上传格式。 证书私钥 以文本编辑器(如Notepad++)打开待上传证书里的KEY格式的文件,将私钥内容复制到此处。 仅上传服务端证书私钥。 上传证书私钥格式如图 证书上传格式。 图1 证书上传格式 服务端证书的CN必须是域名格式。 单击“确定”,完成上传证书。 查看证书列表,确认证书状态为“托管中”。
网关后重建(影响业务); 用户也可以提交工单处理,工作人员会在后台将该网关变更为新版VPN网关(不影响业务)。 默认情况下变更至新版VPN网关的带宽规格为10M,用户后期可根据实际需要调整带宽大小; 变更后转为包年/包月的网关支持到期后续费带宽降配。 父主题: Console与页面使用
证书上传格式。 证书私钥 以文本编辑器(如Notepad++)打开待上传证书里的KEY格式的文件,将私钥内容复制到此处。 仅上传服务端证书私钥。 上传证书私钥格式如图 证书上传格式。 图1 证书上传格式 服务端证书的CN必须是域名格式。 单击“确定”,完成上传证书。 查看证书列表,确认证书状态为“托管中”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
