资讯专栏INFORMATION COLUMN

【VPN网关 IPSecVPN】使用指南:创建VPN网关、创建客户网关、创建隧道、IKE规则等和产品

Tecode / 2590人阅读

摘要:使用指南创建网关创建网关时,您需要填写的内容主要分两部分网关信息与设置。支持的可配项如下配置项支持类型与描述加密算法配置协商过程中使用的报文加密算法,支持和四种加密算法,默认为。本端网段是指您在创建时,在下创建的子网。

使用指南

创建VPN网关

创建VPN网关时,您需要填写的内容主要分两部分:网关信息与IP设置。网关信息中,除了网关名称,备注,业务组等基本信息,还需要选择此网关所在的VPC网络,VPN网关必须属于某一个VPC网络。另外有两种网关规格可供选择。IP设置中绑定IP的带宽,请和VPN规格情况结合,选定适当的带宽。

image.png

创建客户网关

创建客户网关时,需注意,客户网关IP是您本地网络的网关设备IP,客户网关是一个虚拟的概念,它代表您本地网关在UCloud上的投射,方便您创建管理隧道。

image.png

创建隧道

创建隧道时除了隧道名称,备注,业务组等信息,还需要选择隧道对应的VPN网关或客户网关,如果没有创建VPN网关或客户网关,则不能建立隧道。

image.png

IKE规则

IKE目前仅支持V1版本,您需要填写预共享秘钥,预共享秘钥的格式为unicode。这是基本的IKE设置。在您没有选择高级选项时,使用的是我们的默认配置。使用默认配置时,如果发起隧道连接是由客户网关发起,UCloud
VPN网关为接受端时,VPN网关做协商。如果VPN网关发起连接,客户网关作为接受端时,则以默认配置发起,需要对端配置协商模式或者相同配置才能建立起隧道,默认配置见配置项表。

如您需要配置除了预共享秘钥外的更多的选项,可以打开高级选项进行配置。

image.png

高级选项打开后,可配置加密算法,认证算法,协商模式,DH组,本端与对端的ID类型,SA超时时间。支持的可配项如下:

配置项支持类型与描述
加密算法配置IKE协商过程中使用的报文加密算法,支持aes128、aes192、aes256和3des四种加密算法,默认为aes128。
认证算法配置IKE协商过程中使用的报文认证算法,支持md5、sha1和sha2-256三种认证算法,默认为sha1。
协商模式配置IKE协商过程中使用的协商模式,支持主模式和野蛮模式两种协商模式,默认为主模式。
DH组配置IKE协商过程中使用的Diffie-Hellman组,支持1、2、5、14、15和16,默认为15。
本端ID类型配置描述本端VPN网关设备的ID。支持自动识别、IP地址标识和域名标识3种类型,默认为自动识别。
对端ID类型配置描述对端VPN网关设备的ID。支持自动识别、IP地址标识和域名标识3种类型,默认为自动识别。
SA超时(时间)配置Security Association的超时时间,范围是600-604800,默认为1080,单位为秒。

image.png

IPSec 规则

在IPSec配置中,需要配置本端网段,与对端网段。本端网段是指您在创建VPC时,在VPC下创建的子网。对端网段是您希望能够连通的您本地机房的子网。您在UCloud的VPC上配置的子网不能与您本地网关的网段重合。
本端网段与对端网段的连接如下图:
image.png

除了子网的基础配置,如果您没有更改高级选项中的配置更改,则使用的是我们的默认配置,和IKE一样,使用默认配置时,如果发起隧道连接是由客户网关发起,UCloud
VPN网关为接受端时,VPN网关做协商。如果VPN网关发起连接,客户网关作为接受端时,则以默认配置发起,需要对端配置协商模式或者相同配置才能建立起隧道。
点击高级选项进行配置:

image.png

配置项说明
PFS DH组配置是否开启PFS功能,支持Disable、1、2、5、14、15和16,默认Disable
安全协议配置IPSec使用的安全协议,支持AH和ESP,默认ESP
加密算法配置IPSec使用的加密算法,支持aes128、aes192、aes256和3des,默认aes128
认证算法配置IPSec使用的认证算法,支持sha1和md5,默认值为sha1
SA超时(时间)配置IPSec的Security Association超时时间,范围1200-604800,默认为3600,单位秒。
SA超时(流量)配置IPSec的Security Association超时时间,范围8000-2000000,默认使用SA超时(时间),单位字节。
编辑隧道

创建完成隧道后,如果需要对配置项做变更,可以编辑隧道,但保存新的配置项后,需要您适配本地数据中心网关的配置,隧道才能重新建立。
image.png

管理网关

当您创建了多个VPN网关和多个客户网关时,您可以在VPN网关或客户网关的列表页对网关进行管理,可以从不同维度对网关进行筛选。或进入网关页面,对网关进行编辑。
VPN网关管理,您可以解绑现在绑定在VPN网关上的弹性IP,绑定其他IP。但进行此操作后,需要先删除VPN网关上创建的隧道。

image.png

当您决定不再使用VPN网关或者客户网关时,可以删除VPN网关和客户网关,但在删除网关前,也需要先删除网关上建立的隧道。删除VPN网关不会删除绑定在VPN网关上的弹性IP。

image.png

查看监控

VPN网关监控 VPN网关监控了绑定弹性IP的出入流量,您可以在VPN网关页面中查取到监控视图。

image.png

image.png

隧道监控 隧道监控提供了隧道状态变化监控,及隧道出入流量的变化。

image.png

产品价格

2019年5月1日已结束免费公测活动,VPN网关定价如下:

产品规格产品价格产品性能
标准型90元/月40Mbps
增强型240元/月70Mbps

实时文档欢迎https://docs.ucloud.cn/ipsec/common

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/126150.html

相关文章

  • VPN网关 IPSecVPN产品简介:VPN网关基本概念、VPN网关功能概览、VPN网关名词解释

    摘要:产品简介网关服务,提供可容灾的高可用服务,需要配合用户在的用户的本地网关及公网服务三者共同使用。隧道是建立在公网中的,网络质量受公网影响。客户网关代表客户在本地网络中的网关,在控制台上需要客户设置客户网关的,名称等信息。产品简介VPN网关服务,提供可容灾的高可用VPN服务,需要配合用户在UCloud的VPC、用户的本地网关及公网服务三者共同使用。用户可选用多种加密及认证算法,保证隧道的可靠性...

    Tecode 评论0 收藏0
  • 企业私有云解决方案-企业私有云解决方案之IPSecVPN 服务

    摘要:通过服务,用户可将本地数据中心企业分支机构与私有云平台的私有网络通过加密通道进行连接,也可将用于不同之间的加密连接。标准建立的方式有手工配置和自动协商两种,私有云平台网关服务使用协议来建立。本端标识网关的标识,用于第一阶段协商。4.8.1 背景用户在使用云平台部署并管理应用服务时,会有部分业务部署于 IDC 数据中心环境的内网或第三方公/私有云平台上,如 Web 服务部署于公有云平台,应用和...

    ernest.wang 评论0 收藏0
  • VPN网关 IPSecVPN】快速上手:创建VPN网关创建客户网关创建隧道

    摘要:网关快速上手创建网关进入网关页面后,可点击创建网关按钮进行网关的创建。依次填写客户网关名称,与备注信息等,创建客户网关。创建隧道进入创建隧道页面后,填写隧道的基本配置完成基本配置后,填写配置最后填写配置,完成创建。VPN网关 IPSecVPN快速上手Step 1 创建VPN网关进入VPN网关页面后,可点击创建网关按钮进行VPN网关的创建。进入创建VPN网关页面后,依次填写信息,选择付费模式,...

    Tecode 评论0 收藏0
  • 快速上手 VPN网关 IPSecVPN

    摘要:快速上手快速上手快速上手本端网段即云上网段需与对端网段即本地网段相同。创建创建进入创建网关页面后,依次填写信息,选择付费模式,可购买网关。创建创建创建客户网关创建客户网关点击进入客户网关的标签页,点击创建客户网关。 快速上手 本端网段(即云上网段)需与对端网段(即本地网段)相同。 Step 1 创建VPN网关进入VPN网关页面后,可点击创建网关按钮进行VPN网关的创建。进入创建VPN网关页面...

    ernest.wang 评论0 收藏836
  • FAQ VPN网关 IPSecVPN

    摘要:网关监控和隧道监控的带宽出入流量为什么不同网关监控和隧道监控的带宽出入流量为什么不同网关监控的出入流量为网关上绑定的流量,隧道监控的出入流量是的出入流量,网关上可以存在多条隧道,且隧道内的状态也会根据配置变化。因此两者有所不同。 FAQVPN网关监控和隧道监控的带宽出入流量为什么不同?网关监控的出入流量为网关上绑定的EIP流量,隧道监控的出入流量是SA的出入流量,网关上可以存在多条隧道,且隧...

    ernest.wang 评论0 收藏1307

发表评论

0条评论

最新活动
阅读需要支付1元查看
<