所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type II) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
申请VPN

申请VPN

简介

默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用VPN功能。此操作您需要在VPC中创建VPN并更新安全组规则。

目前支持两种方式申请VPN:

  • 直接申请VPN:可在VPN控制台,直接申请所需要的VPN,本章节将重点介绍此种申请方式。
  • 申请VPC的时申请VPN:在VPC控制台,申请VPC时,选择“具有访问Internet能力(可选)且带有VPN的VPC”,即可在申请虚拟私有云界面完成VPN申请。此处不做详细介绍,具体操作请参见具有访问Internet能力(可选)且带有VPN的VPC
说明:

VPN本端子网里的所有ECS必须在私有云侧。

前提条件

已创建需要与远端用户建立网络互通的虚拟私有云及其子网。

操作步骤

  1. 使用浏览器,以VDC管理员或VDC业务员帐号登录ManageOne。

    非B2B场景登录地址:https://ManageOne控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://ManageOne租户的访问地址。例如,https://tenant.demo.com。

  2. 在导航栏左上角下拉框选择地域和Project。
  1. 在系统首页,选择“网络 > VPN”。
  2. 在VPN详情区域,单击“申请VPN”,弹出“选择产品”对话框。
  3. 选择某一款产品,单击“立即申请”,进入申请VPN界面。
  4. 在“申请VPN”界面,根据界面提示配置参数。

    参数说明如表9-5表9-6表9-7所示。

    图9-8 FusionCloud 6.3.1版本申请VPN界面
    表9-5 FusionCloud 6.3.1版本界面基本参数

    参数

    说明

    取值样例

    当前区域

    页面自动显示当前区域,可在页面左上角切换区域。

    华东区

    名称

    VPN名称。

    VPN-001

    VPC

    VPC的名称。

    VPC-001

    本端子网

    VPC内需要与您的数据中心或者私有网络互通的子网。

    192.168.1.0/24,192.168.2.0/24

    本地网关地址

    • VPC下已有VPN时,本地网关地址为确定IP地址。
    • 在VPC下首次申请VPN时,用户可以选择指定或者不指定本地网关地址。

    指定

    远端网关

    您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN互通。

    10.88.88.88

    远端子网

    您的数据中心或私有网络中需要与VPC通信的子网地址。此处输入子网和掩码,多个以英文逗号隔开。

    说明:

    远端子网网段不能与本端子网网段重叠,也不能与对等连接对应的子网重叠。

    示例:

    跨区域的VPC1和VPC2要通过VPN进行互连,则VPC1和VPC2中的所有子网网段都不能重叠,否则将无法申请VPN。

    192.168.3.0/24,192.168.4.0/24

    预共享密钥

    预共享密钥(Pre Shared Key),取值范围为6~128位。此项配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。

    Test@123

    确认密钥

    再次输入预共享密钥。

    Test@123

    申请时长

    申请VPN的使用期限。

    一个月

    高级配置

    可选择默认配置或自定义配置。如果选择自定义配置,请参考表9-6表9-7填写参数。

    默认配置

    表9-6 IKE 策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5(此算法不安全,请慎用)。

    • SHA1:由NIST(National Institute of Standards and Technology,美国国家标准技术研究所)设计的一种能够产生160 比特的散列值的单向散列函数。在《CRYPTREC 密码清单》中,SHA-1 已经被列入"可谨慎运用的密码清单",即除了用于保持兼容性的目的以外,其他情况下都不推荐使用。
    • SHA2-256:由NIST 设计的单向散列函数,散列值长度别为256 比特,上限接近于264 比特。实现上采用了32×8 比特的内部状态,因此更适合32位的CPU。
    • SHA2-384:由NIST 设计的单向散列函数,散列值长度别为384 比特, 上限接近于2128 比特。
    • SHA2-512:由NIST 设计的单向散列函数,散列值长度别为512 比特,上限接近于2128 比特,软件对它的支持范围比较狭窄。
    • MD5(此算法不安全,请慎用):即Message-Digest Algorithm 5(信息-摘要算法 5),用于确保信息传输完整一致。由于MD5的弱点被不断发现以及计算机能力不断的提升,现在已经可以构造两个具有相同 MD5的信息,使本算法不再适合当前的安全环境。目前,MD5计算广泛应用于错误检查。简单的MD5加密是没有办法达到绝对的安全的,普通的MD5加密有多种暴力破解方式。
      说明:

      版本开放了设置各种算法的功能,不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    SHA1

    加密算法

    加密算法,支持的算法:AES-128、AES-192、AES-256、3des(此算法不安全,请慎用)。

    • AES-128:密钥长度是128bits,加密处理轮数为10轮。
    • AES-192:密钥长度是192bits,加密处理轮数为14轮。
    • AES-256:密钥长度是256bits,加密处理轮数为14轮。
    • 3DES(此算法不安全,请慎用):非对称加密的一种,是指使用双长度(16字节)密钥K=(KL||KR)将8字节明文数据块进行3次DES加密、解密的,是可以逆推的一种算法方案。由于3DES的算法是公开的,主要依靠唯一密钥来确保数据加密解密的安全。在资源消耗上大于对称加密,一般是进行混合加密处理。
      说明:
      • AES(AdvancedEncryptionStandard,AES)高级加密标准,是美国联邦政府采用的一种区块加密标准,为对称加密。
      • 不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    AES-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。

    • group2:采用 1024-bit MODP 算法的 DH 组。
    • group5:采用 1536-bit MODP 算法的 DH 组。
    • group14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项 。
      说明:

      不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    group5

    密钥交换协议版本

    IKE密钥交换协议版本,支持的版本:v1、v2。

    v1:在对端设备不支持v2的情形下才有必要配置v1。

    v2:v1的改进版,请优先选择v2。

    v1

    生命周期(秒)

    安全联盟(SA—Secuity Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    86400

    表9-7 IPsec 策略

    参数

    说明

    取值样例

    认证算法

    认证哈希算法,支持的算法:SHA1、SHA2-256、SHA2-384、SHA2-512、MD5(此算法不安全,请慎用)。

    • SHA1:由NIST(National Institute of Standards and Technology,美国国家标准技术研究所)设计的一种能够产生160 比特的散列值的单向散列函数。在《CRYPTREC 密码清单》中,SHA-1 已经被列入"可谨慎运用的密码清单",即除了用于保持兼容性的目的以外,其他情况下都不推荐使用。
    • SHA2-256:由NIST 设计的单向散列函数,散列值长度别为256 比特,上限接近于264 比特。实现上采用了32×8 比特的内部状态,因此更适合32位的CPU。
    • SHA2-384:由NIST 设计的单向散列函数,散列值长度别为384 比特, 上限接近于2128 比特。
    • SHA2-512:由NIST 设计的单向散列函数,散列值长度别为512 比特,上限接近于2128 比特,软件对它的支持范围比较狭窄。
    • MD5(此算法不安全,请慎用):即Message-Digest Algorithm 5(信息-摘要算法 5),用于确保信息传输完整一致。由于MD5的弱点被不断发现以及计算机能力不断的提升,现在已经可以构造两个具有相同 MD5的信息,使本算法不再适合当前的安全环境。目前,MD5计算广泛应用于错误检查。简单的MD5加密是没有办法达到绝对的安全的,普通的MD5加密有多种暴力破解方式。
    说明:

    版本开放了设置各种算法的功能,不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    SHA1

    加密算法

    加密算法,支持的算法:AES-128、AES-192、AES-256、3DES(此算法不安全,请慎用)。

    • AES-128:密钥长度是128bits,加密处理轮数为10轮。
    • AES-192:密钥长度是192bits,加密处理轮数为14轮。
    • AES-256:密钥长度是256bits,加密处理轮数为14轮。
    • 3DES(此算法不安全,请慎用):非对称加密的一种,是指使用双长度(16字节)密钥K=(KL||KR)将8字节明文数据块进行3次DES加密、解密的,是可以逆推的一种算法方案。由于3DES的算法是公开的,主要依靠唯一密钥来确保数据加密解密的安全。在资源消耗上大于对称加密,一般是进行混合加密处理。
      说明:
      • AES(AdvancedEncryptionStandard,AES)高级加密标准,是美国联邦政府采用的一种区块加密标准,为对称加密。
      • 不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    AES-128

    DH算法

    Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。

    • group2:采用 1024-bit MODP 算法的 DH 组。
    • group5:采用 1536-bit MODP 算法的 DH 组。
    • group14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项 。
      说明:

      不同算法的安全强度和性能不同,安全强度越高,性能就越低。

    group5

    传输协议

    IPsec传输和封装用户数据时使用的安全协议,目前支持的协议:AH、ESP、AH-ESP。

    • AH:只有完整性校验功能,无加密功能。
    • ESP:同时支持完整性校验和加密功能。
    • AH-ESP:同时支持完整性校验和加密功能,但安全性更高。

    ESP

    生命周期(秒)

    安全联盟(SA—Secuity Associations)的生存时间,单位:秒。

    在超过生存时间后,安全联盟将被重新协商。

    3600

    说明:
    • IKE策略指定了IPsec 隧道在协商阶段的加密和认证算法,IPsec策略指定了IPsec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在VPC上的VPN和您数据中心的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
    • 因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPsecVPN隧道配置。

      VPN连接支持的协议参考VPN参考标准和协议有哪些

  1. 单击“立即申请”。
  2. 单击“确认申请”。

    说明:

    网络流量的通断与安全规则有关,需添加放通该VPN流量的安全组规则以及防火墙规则。

    虚拟防火墙配置请参考《虚拟防火墙用户指南》中的创建章节,安全组配置请参考《虚拟私有云用户指南》中的配置安全组章节。

翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043091

浏览量:43851

下载量:305

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页