步骤二:创建VPN连接

<p>1.&nbsp; 登录<a href="https://www.ocftcloud.com/console/vpn/gateway/list">VPN网关控制台</a>。</p> <p>2.&nbsp; 选择目标地域,可以查看该地域下现有的VPN网关。</p> <p>3.&nbsp; 单击步骤一中创建的VPN网关的<strong>名称</strong>,进入<strong>VPN网关详情</strong>页面。</p> <p>4.&nbsp; 单击<strong>IPsec&nbsp;VPN连接</strong>页签。</p> <p>5.&nbsp; 在<strong>VPN连接</strong>区域,单击<strong>创建</strong>。</p> <p><strong>6.</strong> 在<strong>创建VPN连接</strong>页面, 根据如下信息创建VPN连接。</p> <p><strong>说明:</strong>在配置新的VPN连接时,请确保同一VPC下的VPN连接中,对端子网CIDR相互没有交集,以保证VPC路由表中CIDR的唯一性。</p> <p><img src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20191208100845-16a6aacd9706.png" style="height:522px; width:830px" /></p> <table border="1" cellpadding="0" cellspacing="0" style="width:809px"> <tbody> <tr> <td colspan="2" style="background-color:#ededed; vertical-align:top; width:246px"> <p><strong>配置项</strong></p> </td> <td style="background-color:#ededed; vertical-align:top; width:557px"> <p><strong>说明</strong></p> </td> </tr> <tr> <td rowspan="4" style="vertical-align:top; width:102px"> <p><strong>基本配置</strong></p> </td> <td style="width:142px"> <p><strong>显示名称</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>自定义VPN连接的名称。&nbsp;&nbsp;</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>协议类型</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>目前协议类型只提供IPsec VPN一个选项,默认选择。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>远端网关</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>输入想要与VPC进行互通的本地数据中心的VPN网关的IP地址。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>链路监控</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认启动链路监控。</p> </td> </tr> <tr> <td rowspan="4" style="vertical-align:top; width:102px"> <p><strong>子网配置信息</strong></p> </td> <td style="width:142px"> <p><strong>本端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>选择平安金融云上的VPN网关所在VPC下的子网IP地址,所选的子网可与租户本地数据中心进行通信。</p> <p><strong>说明:</strong>可选择一个或多个子网IP地址,最多可选择五个。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>已选本端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>显示已选择的一个或多个本端子网。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>远端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>输入想要与VPC进行互通的租户本地数据中心的子网IP地址,并单击<strong>添加</strong>。</p> <p><strong>说明:</strong>可添加一个或多个IP地址,最多可添加五个。请注意本端子网和远端子网不可重叠。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>已填写远端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>显示已添加的一个或多个对端子网。</p> </td> </tr> <tr> <td rowspan="9" style="vertical-align:top; width:102px"> <p><strong>IKE</strong><strong>配置</strong></p> </td> <td style="width:142px"> <p><strong>版本</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>选择IKE(网络密钥交换协议)的版本,支持IKEV1和IKEV2两种版本。</p> <p>默认值为:IKEV2。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>协商模式</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>当IKE版本为IKEV1时,可以配置协商模式。支持Main和AGGR两种协商模式。</p> <p>默认值为:Main</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>加密算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>支持3DES、AES128、AES256三种加密算法。</p> <p>默认值为:AES128。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>认证算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>认证哈希算法,支持SHA256、SHA1、MD5三种认证算法。</p> <p>默认值为:SHA256。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>DH</strong><strong>组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>支持DH2、DH5、DH14三种DH组。</p> <p>默认值为:DH14。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>本端ID标识</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>自定义VPC端的ID标识。</p> <p><strong>说明:</strong>建议格式为IP或者邮箱。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>远端ID标识</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>自定义本地数据中心的ID标识。</p> <p><strong>说明:</strong>建议格式为IP或者邮箱。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>生存时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>安全联盟的生存时间,超过该时间后,安全联盟将被重新协商。</p> <p>默认值为:86400秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>预共享密钥</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>创建VPN连接时会自动生成一个预共享密钥,您可以单击 图标查看该预共享密钥,也可以重新自定义新的预共享密钥。</p> <p><strong>说明:</strong>此项配置在云端的VPN和数据中心VPN上需保持一致。</p> </td> </tr> <tr> <td rowspan="8" style="vertical-align:top; width:102px"> <p>IPsec<strong>配置</strong></p> </td> <td style="width:142px"> <p><strong>加密算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>支持3DES、AES128和AES256三种加密算法。</p> <p>默认值为:AES128。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>认证算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>认证哈希算法,支持SHA256、SHA1和MD5三种认证算法。</p> <p>默认值为:SHA256。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>PFS</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>完全前向保密,支持NONE、DH2、DH5和DH14四种方式。</p> <p>默认值为:DH14。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>生存时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>安全联盟的生存时间,超过该时间后,安全联盟将被重新协商。</p> <p>默认值为:3600秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>NAT KA</strong><strong>时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认设定为20秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>DPD</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认启动。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>发送周期</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认设定为10秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>超时时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认设定为60 秒。</p> </td> </tr> </tbody> </table> <p>6.&nbsp; 确认配置清单信息,单击页面右下角<strong>确定</strong>,完成平安金融云上的VPN连接的创建。</p> <p><strong>说明:</strong>创建好的VPN连接将处于<strong>已停止</strong>的状态。</p> <p>7.&nbsp; 添加路由。</p> <p><strong>说明</strong>:平安金融云上建立了VPN连接后,还需在VPC网络中定义VPN的路由。添加目标网段的下一跳地址为建立的VPN网关。如果有多个目标网段子网,则需添加多条对应目标子网的路由。建立的路由请与创建VPN连接时选择的远端子网保持一致。</p> <p>8.&nbsp; 建立VPC时,系统会创建一个默认安全组规则。默认出方向全部放通,入方向仅放通了TCP对应端口22和3389的流量,如下图所示。</p> <p><img src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20201811163620-1e19fc9f9f0f.png" style="height:277px; width:830px" /></p> <p>如果VPN上层业务使用了其他协议和端口,需在安全组规则里添加对应协议和端口,来放通业务。&nbsp;</p> <p>更多详情,请参考VPC中<a href="https://www.ocftcloud.com/ssr/help/network/vpc/og.safety.sgo" target="_blank">安全组</a>的相关文档。&nbsp;&nbsp;</p>
以上内容是否解决了您的问题?
请补全提交信息!
联系我们

电话咨询

400-151-8800

邮件咨询

fincloud@ocft.com

在线客服

工单支持

解决云产品相关技术问题