使用引导
最近更新时间: 2023-03-20 15:18:06
VPN 连接约束
关于 VPN 连接,您需要注意的是:
• VPN连接稳定性依赖运营商公网质量,无法提供 SLA 服务协议保障。
• VPN中断后,需要手动重新拨入,不支持自动重新建链。
• VPN 参数配置完成后,您需要在子网关联路由表中添加指向 VPN 网关的路由策略,子网内云主机访问对端网段的网络请求才会通过 VPN 通道传递至对端网关;
• 在配置完路由表之后,您需要在 VPC 内云主机 ping 对端网段中的 IP 以激活此 VPN 通道;
• 地址段为58.*/119.*/223.*的VPN网关不支持运营商故障下的自动切换,可申请新的VPN网关(确认地址段为103.*)进行替换。;
• VPN 网关互联网带宽受限于整体互联网运行情况,极端情况下可能会出现拥塞;
• VPN 连接 SPD 或路由网段不可以指定为如下网段:
全0、全255或224开头的组播地址。
回环地址:127.x.x.x/8。
IPv6 网段。
对端网关 IP 地址约束
对端网关的公网IP不支持以下 IP 地址:
• 全 0、全 255、224 开头的组播地址;
• 回环地址: 127.x.x.x/8;
• IP 地址中主机位为全 0 或者全 1 的地址,如:
– 以 A 类中 1126 开头举例,1126.0.0.0 以及 1126.255.255.255;191 开头举例,128
– 以 B 类中 128191.x.0.0 以及 128191.x.255.255;
– 以 C 类中 192223 开头举例,192223.x.x.0 以及 192~223.x.x.255;
• 内部服务地址:169.254.x.x/16;
• IPv6网段
资源限制
| 资源 | 限制(个) |
|---|---|
| 每个私有网络内 VPN 网关个数 | 10 |
| 同一地域内对端网关个数 | 20 |
| 同一个对端网关支持的VPN通道数 | 10 |
| 同一VPN网关可创建的VPN通道数 | 20 |
| 每个 VPN 通道的 SPD 个数 | 10 |
| 每个 SPD 支持的对端网段数 | 50 |
接入引导
IPsec VPN 可以在控制台实现全自助配置,您需要完成以下几步才能实现使 VPN 连接生效:
1) 创建 VPN 网关
2) 创建对端网关
3) 创建 VPN 通道
4) 在自有 IPsec VPN 网关中加载配置文件
5) 设置路由表
6) VPN 通道激活
示例:
通过 IPsec VPN 连接打通您在武汉的私有网络 CCBVPC 中子网 A 172.16.0.0/24与您的 IDC 中子网10.0.1.0/24,而您 IDC 中 VPN 网关的公网 IP 是X.X.X.X。
您需要完成以下几个步骤:
第一步:创建 VPN 网关
1) 登录云平台控制台,点击导航条【私有网络】,进入私有网络控制台;
2) 点击左导航栏中【VPN 连接】-【VPN 网关】选项卡;
3) 在列表的上端选择私有网络 CCBVPC 所在武汉和私有网络CCBVPC,点击【新建】;
4) 填写 VPN 网关名称(如: CCBVPNGw)选择合适的带宽配置,VPN 网关创建完成之后,系统随机分配公网 IP。
第二步:创建对端网关
在 VPN 通道创建前,需要创建对端网关:
1) 登录云平台控制台,点击导航条【私有网络】,进入私有网络控制台;
2) 点击左导航栏中【VPN 连接】-【对端网关】选项卡;
3) 在列表的上端选择地域:武汉,点击【新建】;
4) 填写对端网关名称(如: CCBVPNUserGw)和 IDC 的 VPN 网关的公网 IP;
5) 点击【创建】,即可在对端网关列表查看到新建的对端网关。
第三步:创建 VPN 通道
创建 VPN 通道分为以下几个步骤:
1) 登录云平台控制台,点击导航条【私有网络】,进入私有网络控制台;
2) 点击左导航栏中【VPN 连接】-【VPN 通道】选项卡;
3) 在列表的上端选择私有网络 CCBVPC 所在武汉和私有网络CCBVPC,点击【新建】;
4) 输入通道名称(如: CCBVPNConn),选择 VPN 网关CCBVPNGw与对端网关CCBVPNUserGw, 并输入预共享密钥(如:123456);
5) 输入 SPD 策略来限制本段哪些网段和对端哪些网段通信,在本例中本端网段即为子网 A 的网段172.16.0.0/24,对端网段为10.0.1.0/24,点击【下一步】;
6) (可选)第三步配置 IKE 参数(可选),如果您不需要高级配置可直接点击【下一步】;
7) (可选)第四步配置 IPsec 参数(可选),如果您不需要配置,可直接点击【完成配置】;
8) 点击完成 VPN 通道,下载配置文件。
第四步:在自有 IPsec VPN 网关中加载配置文件
将第三步生成的配置文件在您 IDC 的 IPsec VPN 网关中加载配置,才可实现 VPN 通道的网络互通。
第五步:修改路由表
截止至第四步,我们已经将一条 VPN 通道配置成功,但是由于您还未将子网 A 中的流量路由指向 VPN 网关,子网 A 中的网段还不能与 IDC 中的网段通信。现在配置路由:
1) 登录云平台控制台点击导航条【私有网络】,进入私有网络控制台。
2) 点击左导航栏中【子网】,在列表的上端选择私有网络 CCBVPC 所在武汉和私有网络 CCBVPC,点击子网 A 所关联的路由表 ID 进入该路由表的详情页。
3) 点击【编辑按钮】,点击【新增一行】,输入目的端网段(10.0.1.0/24),下一跳类型 选择【VPN 网关】,再选择刚刚创建的 VPN 网关 CCBVPNGw。
4) 点击【保存】,即完成需要通信的子网的出包路由设定。
第六步:VPN 通道激活
用 VPC 内的云服务器 ping 对端网段中的 IP 以激活 VPN 通道。如:CCBVPC内的子网 A 中的云服务器ping 10.0.1.17