<p>1.&nbsp; 登录<a href="https://www.ocftcloud.com/console/vpn/gateway/list">VPN网关控制台</a>。</p> <p>2.&nbsp; 选择目标地域，可以查看该地域下现有的VPN网关。</p> <p>3.&nbsp; 单击步骤一中创建的VPN网关的<strong>名称</strong>，进入<strong>VPN网关详情</strong>页面。</p> <p>4.&nbsp; 单击<strong>IPsec&nbsp;VPN连接</strong>页签。</p> <p>5.&nbsp; 在<strong>VPN连接</strong>区域，单击<strong>创建</strong>。</p> <p><strong>6.</strong> 在<strong>创建VPN连接</strong>页面， 根据如下信息创建VPN连接。</p> <p><strong>说明：</strong>在配置新的VPN连接时，请确保同一VPC下的VPN连接中，对端子网CIDR相互没有交集，以保证VPC路由表中CIDR的唯一性。</p> <p><img src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20191208100845-16a6aacd9706.png" style="height:522px; width:830px" /></p> <table border="1" cellpadding="0" cellspacing="0" style="width:809px"> <tbody> <tr> <td colspan="2" style="background-color:#ededed; vertical-align:top; width:246px"> <p><strong>配置项</strong></p> </td> <td style="background-color:#ededed; vertical-align:top; width:557px"> <p><strong>说明</strong></p> </td> </tr> <tr> <td rowspan="4" style="vertical-align:top; width:102px"> <p><strong>基本配置</strong></p> </td> <td style="width:142px"> <p><strong>显示名称</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>自定义VPN连接的名称。&nbsp;&nbsp;</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>协议类型</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>目前协议类型只提供IPsec VPN一个选项，默认选择。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>远端网关</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>输入想要与VPC进行互通的本地数据中心的VPN网关的IP地址。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>链路监控</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认启动链路监控。</p> </td> </tr> <tr> <td rowspan="4" style="vertical-align:top; width:102px"> <p><strong>子网配置信息</strong></p> </td> <td style="width:142px"> <p><strong>本端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>选择平安金融云上的VPN网关所在VPC下的子网IP地址，所选的子网可与租户本地数据中心进行通信。</p> <p><strong>说明：</strong>可选择一个或多个子网IP地址，最多可选择五个。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>已选本端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>显示已选择的一个或多个本端子网。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>远端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>输入想要与VPC进行互通的租户本地数据中心的子网IP地址，并单击<strong>添加</strong>。</p> <p><strong>说明：</strong>可添加一个或多个IP地址，最多可添加五个。请注意本端子网和远端子网不可重叠。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>已填写远端子网组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>显示已添加的一个或多个对端子网。</p> </td> </tr> <tr> <td rowspan="9" style="vertical-align:top; width:102px"> <p><strong>IKE</strong><strong>配置</strong></p> </td> <td style="width:142px"> <p><strong>版本</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>选择IKE（网络密钥交换协议）的版本，支持IKEV1和IKEV2两种版本。</p> <p>默认值为：IKEV2。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>协商模式</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>当IKE版本为IKEV1时，可以配置协商模式。支持Main和AGGR两种协商模式。</p> <p>默认值为：Main</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>加密算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>支持3DES、AES128、AES256三种加密算法。</p> <p>默认值为：AES128。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>认证算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>认证哈希算法，支持SHA256、SHA1、MD5三种认证算法。</p> <p>默认值为：SHA256。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>DH</strong><strong>组</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>支持DH2、DH5、DH14三种DH组。</p> <p>默认值为：DH14。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>本端ID标识</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>自定义VPC端的ID标识。</p> <p><strong>说明：</strong>建议格式为IP或者邮箱。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>远端ID标识</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>自定义本地数据中心的ID标识。</p> <p><strong>说明：</strong>建议格式为IP或者邮箱。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>生存时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>安全联盟的生存时间，超过该时间后，安全联盟将被重新协商。</p> <p>默认值为：86400秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>预共享密钥</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>创建VPN连接时会自动生成一个预共享密钥，您可以单击 图标查看该预共享密钥，也可以重新自定义新的预共享密钥。</p> <p><strong>说明：</strong>此项配置在云端的VPN和数据中心VPN上需保持一致。</p> </td> </tr> <tr> <td rowspan="8" style="vertical-align:top; width:102px"> <p>IPsec<strong>配置</strong></p> </td> <td style="width:142px"> <p><strong>加密算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>支持3DES、AES128和AES256三种加密算法。</p> <p>默认值为：AES128。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>认证算法</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>认证哈希算法，支持SHA256、SHA1和MD5三种认证算法。</p> <p>默认值为：SHA256。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>PFS</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>完全前向保密，支持NONE、DH2、DH5和DH14四种方式。</p> <p>默认值为：DH14。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>生存时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>安全联盟的生存时间，超过该时间后，安全联盟将被重新协商。</p> <p>默认值为：3600秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>NAT KA</strong><strong>时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认设定为20秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>DPD</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认启动。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>发送周期</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认设定为10秒。</p> </td> </tr> <tr> <td style="width:142px"> <p><strong>超时时间</strong></p> </td> <td style="vertical-align:top; width:557px"> <p>默认设定为60 秒。</p> </td> </tr> </tbody> </table> <p>6.&nbsp; 确认配置清单信息，单击页面右下角<strong>确定</strong>，完成平安金融云上的VPN连接的创建。</p> <p><strong>说明：</strong>创建好的VPN连接将处于<strong>已停止</strong>的状态。</p> <p>7.&nbsp; 添加路由。</p> <p><strong>说明</strong>：平安金融云上建立了VPN连接后，还需在VPC网络中定义VPN的路由。添加目标网段的下一跳地址为建立的VPN网关。如果有多个目标网段子网，则需添加多条对应目标子网的路由。建立的路由请与创建VPN连接时选择的远端子网保持一致。</p> <p>8.&nbsp; 建立VPC时，系统会创建一个默认安全组规则。默认出方向全部放通，入方向仅放通了TCP对应端口22和3389的流量，如下图所示。</p> <p><img src="https://obs-cn-shanghai.ocftcloud.com/pacloud/20201811163620-1e19fc9f9f0f.png" style="height:277px; width:830px" /></p> <p>如果VPN上层业务使用了其他协议和端口，需在安全组规则里添加对应协议和端口，来放通业务。&nbsp;</p> <p>更多详情，请参考VPC中<a href="https://www.ocftcloud.com/ssr/help/network/vpc/og.safety.sgo" target="_blank">安全组</a>的相关文档。&nbsp;&nbsp;</p>