步骤二:创建VPN连接
<p>1. 登录<a href="https://www.ocftcloud.com/console/vpn/gateway/list">VPN网关控制台</a>。</p>
<p>2. 选择目标地域,可以查看该地域下现有的VPN网关。</p>
<p>3. 单击步骤一中创建的VPN网关的<strong>名称</strong>,进入<strong>VPN网关详情</strong>页面。</p>
<p>4. 单击<strong>IPsec VPN连接</strong>页签。</p>
<p>5. 在<strong>VPN连接</strong>区域,单击<strong>创建</strong>。</p>
<p><strong>6.</strong> 在<strong>创建VPN连接</strong>页面, 根据如下信息创建VPN连接。</p>
<p><strong>说明:</strong>在配置新的VPN连接时,请确保同一VPC下的VPN连接中,对端子网CIDR相互没有交集,以保证VPC路由表中CIDR的唯一性。</p>
<p><img src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20191208100845-16a6aacd9706.png" style="height:522px; width:830px" /></p>
<table border="1" cellpadding="0" cellspacing="0" style="width:809px">
<tbody>
<tr>
<td colspan="2" style="background-color:#ededed; vertical-align:top; width:246px">
<p><strong>配置项</strong></p>
</td>
<td style="background-color:#ededed; vertical-align:top; width:557px">
<p><strong>说明</strong></p>
</td>
</tr>
<tr>
<td rowspan="4" style="vertical-align:top; width:102px">
<p><strong>基本配置</strong></p>
</td>
<td style="width:142px">
<p><strong>显示名称</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>自定义VPN连接的名称。 </p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>协议类型</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>目前协议类型只提供IPsec VPN一个选项,默认选择。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>远端网关</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>输入想要与VPC进行互通的本地数据中心的VPN网关的IP地址。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>链路监控</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>默认启动链路监控。</p>
</td>
</tr>
<tr>
<td rowspan="4" style="vertical-align:top; width:102px">
<p><strong>子网配置信息</strong></p>
</td>
<td style="width:142px">
<p><strong>本端子网组</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>选择平安金融云上的VPN网关所在VPC下的子网IP地址,所选的子网可与租户本地数据中心进行通信。</p>
<p><strong>说明:</strong>可选择一个或多个子网IP地址,最多可选择五个。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>已选本端子网组</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>显示已选择的一个或多个本端子网。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>远端子网组</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>输入想要与VPC进行互通的租户本地数据中心的子网IP地址,并单击<strong>添加</strong>。</p>
<p><strong>说明:</strong>可添加一个或多个IP地址,最多可添加五个。请注意本端子网和远端子网不可重叠。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>已填写远端子网组</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>显示已添加的一个或多个对端子网。</p>
</td>
</tr>
<tr>
<td rowspan="9" style="vertical-align:top; width:102px">
<p><strong>IKE</strong><strong>配置</strong></p>
</td>
<td style="width:142px">
<p><strong>版本</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>选择IKE(网络密钥交换协议)的版本,支持IKEV1和IKEV2两种版本。</p>
<p>默认值为:IKEV2。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>协商模式</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>当IKE版本为IKEV1时,可以配置协商模式。支持Main和AGGR两种协商模式。</p>
<p>默认值为:Main</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>加密算法</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>支持3DES、AES128、AES256三种加密算法。</p>
<p>默认值为:AES128。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>认证算法</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>认证哈希算法,支持SHA256、SHA1、MD5三种认证算法。</p>
<p>默认值为:SHA256。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>DH</strong><strong>组</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>支持DH2、DH5、DH14三种DH组。</p>
<p>默认值为:DH14。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>本端ID标识</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>自定义VPC端的ID标识。</p>
<p><strong>说明:</strong>建议格式为IP或者邮箱。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>远端ID标识</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>自定义本地数据中心的ID标识。</p>
<p><strong>说明:</strong>建议格式为IP或者邮箱。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>生存时间</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>安全联盟的生存时间,超过该时间后,安全联盟将被重新协商。</p>
<p>默认值为:86400秒。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>预共享密钥</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>创建VPN连接时会自动生成一个预共享密钥,您可以单击 图标查看该预共享密钥,也可以重新自定义新的预共享密钥。</p>
<p><strong>说明:</strong>此项配置在云端的VPN和数据中心VPN上需保持一致。</p>
</td>
</tr>
<tr>
<td rowspan="8" style="vertical-align:top; width:102px">
<p>IPsec<strong>配置</strong></p>
</td>
<td style="width:142px">
<p><strong>加密算法</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>支持3DES、AES128和AES256三种加密算法。</p>
<p>默认值为:AES128。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>认证算法</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>认证哈希算法,支持SHA256、SHA1和MD5三种认证算法。</p>
<p>默认值为:SHA256。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>PFS</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>完全前向保密,支持NONE、DH2、DH5和DH14四种方式。</p>
<p>默认值为:DH14。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>生存时间</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>安全联盟的生存时间,超过该时间后,安全联盟将被重新协商。</p>
<p>默认值为:3600秒。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>NAT KA</strong><strong>时间</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>默认设定为20秒。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>DPD</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>默认启动。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>发送周期</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>默认设定为10秒。</p>
</td>
</tr>
<tr>
<td style="width:142px">
<p><strong>超时时间</strong></p>
</td>
<td style="vertical-align:top; width:557px">
<p>默认设定为60 秒。</p>
</td>
</tr>
</tbody>
</table>
<p>6. 确认配置清单信息,单击页面右下角<strong>确定</strong>,完成平安金融云上的VPN连接的创建。</p>
<p><strong>说明:</strong>创建好的VPN连接将处于<strong>已停止</strong>的状态。</p>
<p>7. 添加路由。</p>
<p><strong>说明</strong>:平安金融云上建立了VPN连接后,还需在VPC网络中定义VPN的路由。添加目标网段的下一跳地址为建立的VPN网关。如果有多个目标网段子网,则需添加多条对应目标子网的路由。建立的路由请与创建VPN连接时选择的远端子网保持一致。</p>
<p>8. 建立VPC时,系统会创建一个默认安全组规则。默认出方向全部放通,入方向仅放通了TCP对应端口22和3389的流量,如下图所示。</p>
<p><img src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20201811163620-1e19fc9f9f0f.png" style="height:277px; width:830px" /></p>
<p>如果VPN上层业务使用了其他协议和端口,需在安全组规则里添加对应协议和端口,来放通业务。 </p>
<p>更多详情,请参考VPC中<a href="https://www.ocftcloud.com/ssr/help/network/vpc/og.safety.sgo" target="_blank">安全组</a>的相关文档。 </p>
提交成功!非常感谢您的反馈,我们会继续努力做到更好!