創建VPN網關

操作場景

您需要將VPC中的彈性云主機和您的數據中心或私有網絡連通，需要先創建VPN網關。在您購買VPN網關時，可以同時購買一條與其關聯的VPN連接。

前置條件

• 請確認VPC已經創建完成。
• 請確認VPC的安全組規則已經配置，ECS通信正常。

操作步驟

1. 登錄管理控制臺。
2. 在管理控制臺上方選擇區域與項目。
3. 在系統首頁，單擊“網絡 > 虛擬專用網絡”。
4. 在左側導航欄選擇“虛擬專用網絡 > VPN網關”。
5. 在“VPN網關”界面，單擊“創建VPN網關”。
6. 根據界面提示配置參數，并單擊“立即購買”。
7. 確認購買的VPN網關信息，單擊“提交”。

VPN網關創建成功后，系統會分配一個公網出口IP，即VPN網關列表中“網關IP”對應顯示的IP地址。該網關IP也是用戶側VPN網絡配置對應的遠端網關IP。

                    
注意
                    
以下算法安全性較低，請慎用：
認證算法：SHA1、MD5。
加密算法：3DES。
DH算法：Group 1、Group 2、Group 5。


                    
                  
                  

創建VPN連接

操作場景

您需要將VPC中的彈性云主機和您的數據中心或私有網絡連通，創建VPN網關后需要創建VPN連接。

操作步驟

1. 登錄管理控制臺。
2. 在管理控制臺上方選擇區域與項目。
3. 在系統首頁，單擊“網絡 > 虛擬專用網絡”。
4. 在左側導航欄選擇“虛擬專用網絡 > VPN連接”。
5. 在“VPN連接”頁面，單擊“創建VPN連接”。
6. 根據界面提示配置參數，并單擊“立即購買”。
7. 單擊“提交”。
8. 因為隧道的對稱性，還需要在您自己數據中心的路由器或者防火墻上進行IPsec VPN隧道配置。

                    
說明
                    
IKE策略指定了IPsec隧道在協商階段的加密和認證算法，IPsec策略指定了IPsec在數據傳輸階段所使用的協議，加密以及認證算法；這些參數在VPC上的VPN連接和您數據中心的VPN中需要進行相同的配置，否則會導致VPN無法建立連接。
以下算法安全性較低，請慎用：
認證算法：SHA1、MD5。
加密算法：3DES。
DH算法：Group 1、Group 2、Group 5。
                    
                  
                  

配置對端設備

配置對端設備可參見以下示例，幫助您配置本地的VPN設備，實現您本地網絡與天翼云VPC子網的互聯互通。

示例：HUAWEI USG6600配置

本章節以Huawei USG6600系列V100R001C30SPC300版本的防火墻的配置過程為例進行說明。

假設數據中心的子網為192.168.3.0/24和192.168.4.0/24，VPC下的子網為192.168.1.0/24和192.168.2.0/24，VPC上IPsec隧道的出口公網IP為1.1.1.1（從VPC上IPsec VPN的本端網關參數上獲取）。

配置步驟

1. 登錄防火墻設備的命令行配置界面。

2. 查看防火墻版本信息。
   display version
   17:20:502017/03/09
   Huawei Versatile Security Platform Software
    Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30)

3. 創建ACL并綁定到對應的vpn-instance。
   acl number 3065 vpn-instance vpn64
   rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
   rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
   rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   q

4. 創建ike proposal。
   ike proposal 64
   dh group5
   authentication-algorithm sha1
   integrity-algorithm hmac-sha2-256
   sa duration 3600
   q

5. 創建ike peer，并引用之前創建的ike proposal，其中對端IP地址是1.1.1.1。
   ike peer vpnikepeer_64
   pre-shared-key ******** （********為您輸入的預共享密碼）
   ike-proposal 64
   undo version 2
   remote-address vpn-instance vpn64 1.1.1.1
   sa binding vpn-instance vpn64
   q

6. 創建IPsec協議。
   IPsec proposal IPsecpro64
   encapsulation-mode tunnel
   esp authentication-algorithm sha1
   q

7. 創建IPsec策略，并引用ike policy和IPsec proposal。
   IPsec policy vpnIPsec64 1 isakmp
   security acl 3065
   pfs dh-group5
   ike-peer vpnikepeer_64
   proposal IPsecpro64
   local-address xx.xx.xx.xx
   q

8. 將IPsec策略應用到相應的子接口上。

   interface GigabitEthernet0/0/2.64
   IPsec policy vpnIPsec64
   q

9. 測試連通性。
   在上述配置完成后，我們可以利用您在云中的云主機和您數據中心的主機進行連通性測試。