所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type I) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
申请VPN

申请VPN

简介

默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用VPN功能。此操作您需要在VPC中创建VPN并更新安全组规则。

目前支持两种方式申请VPN:

  • 直接申请VPN:可在VPN控制台,直接申请所需要的VPN,本章节将重点介绍此种申请方式。
  • 申请VPC的时申请VPN:在VPC控制台,申请VPC时,选择“具有访问Internet能力(可选)且带有VPN的VPC”,即可在申请虚拟私有云界面完成VPN申请。此处不做详细介绍,具体操作请参见具有访问Internet能力(可选)且带有VPN的VPC
说明:

VPN本端子网里的所有ECS必须在私有云侧。

背景信息

VPN网关是VPC中建立IPsec VPN的出口网关,用于VPC和外部数据中心之间建立安全可靠的加密网络通信。VPN连接是建立VPN网关和外部数据中心VPN网关之间的加密通道。当前VPN连接仅支持IPsec VPN加密协议。需要先申请VPN网关,再申请VPN连接,一个VPN网关可以对应多个VPN连接。

前提条件

已创建需要与远端用户建立网络互通的虚拟私有云及其子网。

已打开VPN-Qos开关。
说明:
  • VPN-Qos存在打开和关闭两种状态,这两种状态在申请VPN时界面略有差别。
  • VPN-Qos打开状态下申请的VPN需要设置带宽,分为“创建VPN网关”和“申请VPN连接”两个操作步骤。
  • VPN-Qos关闭状态下申请的VPN无需设置带宽,仅有“申请虚拟专用网络”一个步骤。
  • 打开VPN-Qos需要管理人员在DMK平台进行相关操作。

创建VPN网关

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  3. 在系统首页,选择“网络 > VPN”。
  1. 在“VPN网关”界面,单击“创建VPN网关”,进入创建VPN网关界面。
  2. 根据界面提示配置参数,并单击“立即创建”。

    图9-8 FusionCloud 6.3.1版本创建VPN网关界面参数
    表9-5 FusionCloud 6.3.1版本VPN网关参数说明

    参数

    说明

    取值样例

    当前区域

    页面自动显示当前区域,可在页面左上角切换区域。

    华东区

    名称

    VPN网关名称。

    vpngw-001

    虚拟私有云

    VPN接入的VPC名称。如果选项中没有或没有理想的虚私有云,可单击提示信息中的“申请虚拟私有云”来创建新的虚拟私有云。

    vpc-001

    本地网关地址

    • VPC下已有VPN时,本地网关地址为确定IP地址。
    • 在VPC下首次申请VPN时,用户可以选择指定或者不指定本地网关地址。

    指定

    外部网络

    当用户选择指定本地网关地址时,需要选择云系统的外部网络。

    net-001

    分配方式

    仅在用户选择指定本地网关地址时显示该选项。

    • 自动分配:系统自动分配本地网关IP地址。
    • 手动分配:用户自行配置本地网关IP地址。

    手动分配

    IP地址

    本地网关的IP地址,仅在用户选择指定本地网关地址时显示该选项。

    • 选择自动分配:系统自动分配本地网关IP地址。
    • 选择手动分配:用户自行配置本地网关IP地址。

    192.168.30.2

    带宽名称

    带宽名称只能由中文、英文字母、数字、下划线和中划线组成。

    bandwidth-ea49

    带宽大小

    本地VPN网关的带宽大小,单位Mbit/s。

    在VPN使用过程中,当网络流量超过VPN带宽时有可能造成网络拥塞导致VPN连接中断,请用户提前做好带宽规划。

    5Mbit/s

    描述

    VPN网关的描述信息,非必填项。

    -

  3. 确认信息正确后,单击“立即创建”。

    说明:

    VPN网关创建完成后,VPN网关的短暂状态为“创建中”,底层完成配置后,状态更新为“正常”。

申请VPN连接

  1. 在系统首页,选择“网络 > VPN”。
  2. 在左侧导航栏选择“VPN > VPN连接”。
  3. 在VPN连接详情区域,单击“申请VPN连接”,弹出“选择产品”对话框。
  4. 选择某一款产品,单击“立即申请”,进入申请VPN连接界面。
  5. 在“申请VPN连接”界面,根据界面提示配置参数。

    参数说明如表9-6表9-7表9-8所示。

    图9-9 申请VPN连接界面参数
    表9-6 基本信息

    参数

    说明

    取值样例

    当前区域

    页面自动显示当前区域,可在页面左上角切换区域。

    华东区

    名称

    VPN连接名称。

    vpn-001

    虚拟专用网络网关

    VPN连接挂载的VPN网关名称。若选项中没有可用的VPN网关,可单击提示信息中的“创建VPN网关”进行创建。

    vpcgw-001

    本端子网

    VPC内需要与您的数据中心或者私有网络互通的子网。

    192.168.1.0/24,192.168.2.0/24

    远端网关

    您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN互通。

    10.88.88.88

    远端子网

    您的数据中心或私有网络中需要与VPC通信的子网地址。此处输入子网和掩码,多个以英文逗号隔开。

    说明:

    远端子网网段不能与本端子网网段重叠,也不能与对等连接对应的子网重叠。

    示例:

    跨区域的VPC1和VPC2要通过VPN进行互连,则VPC1和VPC2中的所有子网网段都不能重叠,否则将无法申请VPN连接。

    192.168.3.0/24,192.168.4.0/24

    预共享密钥

    预共享密钥(Pre Shared Key),两端建立IPsec连接时的公共密码。取值范围为6~128位,不能包含空格以及<>&?*'"。此项配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。

    Test@123

    确认密钥

    再次输入预共享密钥。

    Test@123

    申请时长

    申请VPN的使用期限。

    一个月

    高级配置

    可选择默认配置或自定义配置。如果选择自定义配置,请参考表9-7表9-8填写参数。

    默认配置

    表9-7 IKE 策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5(此算法不安全,请慎用)。

    • SHA1:由NIST(National Institute of Standards and Technology,美国国家标准技术研究所)设计的一种能够产生160 比特的散列值的单向散列函数。在《CRYPTREC 密码清单》中,SHA-1 已经被列入"可谨慎运用的密码清单",即除了用于保持兼容性的目的以外,其他情况下都不推荐使用。
    • SHA2-256:由NIST 设计的单向散列函数,散列值长度别为256 比特,上限接近于264 比特。实现上采用了32×8 比特的内部状态,因此更适合32位的CPU。
    • SHA2-384:由NIST 设计的单向散列函数,散列值长度别为384 比特, 上限接近于2128 比特。
    • SHA2-512:由NIST 设计的单向散列函数,散列值长度别为512 比特,上限接近于2128 比特,软件对它的支持范围比较狭窄。
    • MD5(此算法不安全,请慎用):即Message-Digest Algorithm 5(信息-摘要算法 5),用于确保信息传输完整一致。由于MD5的弱点被不断发现以及计算机能力不断的提升,现在已经可以构造两个具有相同 MD5的信息,使本算法不再适合当前的安全环境。目前,MD5计算广泛应用于错误检查。简单的MD5加密是没有办法达到绝对的安全的,普通的MD5加密有多种暴力破解方式。
      说明:

      版本开放了设置各种算法的功能,不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    SHA1

    加密算法

    加密算法,支持的算法:AES-128、AES-192、AES-256、3des(此算法不安全,请慎用)。

    • AES-128:密钥长度是128bits,加密处理轮数为10轮。
    • AES-192:密钥长度是192bits,加密处理轮数为14轮。
    • AES-256:密钥长度是256bits,加密处理轮数为14轮。
    • 3DES(此算法不安全,请慎用):非对称加密的一种,是指使用双长度(16字节)密钥K=(KL||KR)将8字节明文数据块进行3次DES加密、解密的,是可以逆推的一种算法方案。由于3DES的算法是公开的,主要依靠唯一密钥来确保数据加密解密的安全。在资源消耗上大于对称加密,一般是进行混合加密处理。
      说明:
      • AES(AdvancedEncryptionStandard,AES)高级加密标准,是美国联邦政府采用的一种区块加密标准,为对称加密。
      • 不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    AES-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。

    • group2:采用 1024-bit MODP 算法的 DH 组。
    • group5:采用 1536-bit MODP 算法的 DH 组。
    • group14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项 。
      说明:

      不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    group5

    密钥交换协议版本

    IKE密钥交换协议版本,支持的版本:v1、v2。

    v1:在对端设备不支持v2的情形下才有必要配置v1。

    v2:v1的改进版,请优先选择v2。

    v1

    生命周期(秒)

    安全联盟(SA—Secuity Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    86400

    表9-8 IPsec 策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5(此算法不安全,请慎用)。

    • SHA1:由NIST(National Institute of Standards and Technology,美国国家标准技术研究所)设计的一种能够产生160 比特的散列值的单向散列函数。在《CRYPTREC 密码清单》中,SHA-1 已经被列入"可谨慎运用的密码清单",即除了用于保持兼容性的目的以外,其他情况下都不推荐使用。
    • SHA2-256:由NIST 设计的单向散列函数,散列值长度别为256 比特,上限接近于264 比特。实现上采用了32×8 比特的内部状态,因此更适合32位的CPU。
    • SHA2-384:由NIST 设计的单向散列函数,散列值长度别为384 比特, 上限接近于2128 比特。
    • SHA2-512:由NIST 设计的单向散列函数,散列值长度别为512 比特,上限接近于2128 比特,软件对它的支持范围比较狭窄。
    • MD5(此算法不安全,请慎用):即Message-Digest Algorithm 5(信息-摘要算法 5),用于确保信息传输完整一致。由于MD5的弱点被不断发现以及计算机能力不断的提升,现在已经可以构造两个具有相同 MD5的信息,使本算法不再适合当前的安全环境。目前,MD5计算广泛应用于错误检查。简单的MD5加密是没有办法达到绝对的安全的,普通的MD5加密有多种暴力破解方式。
    说明:

    版本开放了设置各种算法的功能,不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    SHA1

    加密算法

    加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(此算法不安全,请慎用)。

    • AES-128:密钥长度是128bits,加密处理轮数为10轮。
    • AES-192:密钥长度是192bits,加密处理轮数为14轮。
    • AES-256:密钥长度是256bits,加密处理轮数为14轮。
    • 3DES(此算法不安全,请慎用):非对称加密的一种,是指使用双长度(16字节)密钥K=(KL||KR)将8字节明文数据块进行3次DES加密、解密的,是可以逆推的一种算法方案。由于3DES的算法是公开的,主要依靠唯一密钥来确保数据加密解密的安全。在资源消耗上大于对称加密,一般是进行混合加密处理。
      说明:
      • AES(AdvancedEncryptionStandard,AES)高级加密标准,是美国联邦政府采用的一种区块加密标准,为对称加密。
      • 不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    AES-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。

    • group2:采用 1024-bit MODP 算法的 DH 组。
    • group5:采用 1536-bit MODP 算法的 DH 组。
    • group14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项 。
      说明:

      不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    group5

    传输协议

    IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:AH、ESP、AH-ESP。

    • AH:只有完整性校验功能,无加密功能。
    • ESP:同时支持完整性校验和加密功能。
    • AH-ESP:同时支持完整性校验和加密功能,但安全性更高。

    ESP

    生命周期(秒)

    安全联盟(SA—Secuity Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    3600

    说明:
    • IKE策略指定了IPsec 隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在VPC上的VPN和您数据中心的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
    • 因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPsecVPN隧道配置。

      VPN连接支持的协议参考VPN参考标准和协议有哪些

  1. 单击“立即申请”。
  2. 单击“确认申请”。
翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043090

浏览量:13108

下载量:555

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页