IPsec VPN网关
IPsec VPN网关是一种通过公网加密通道连接您的IDC和私有网络的方式。
操作流程
IPsec VPN网关实例能够在控制台实现全自助配置,您需要完成以下几步才能实现使VPN连接生效:
创建IPsec VPN网关
- 在私有网络VPC控制台左侧导航栏选择“网络连接->VPN网关”,选择IPsec VPN网关页,点击“+创建IPsec VPN网关”
说明:
- 填写下列配置信息:
| 配置项 | 说明 |
|---|---|
| 付费方式 | 选择付费方式 |
| 当前地域 | 支持华北-北京、华北-保定、华南-广州、华东-上海、华东-苏州,华中-武汉、西南-成都、香港,通过左上角区域进行切换。 |
| 所在网络 | VPN 所属的私有网络(VPC) |
| 所在子网 | VPN 所属VPC下对应可用区的子网。 |
| VPN 网关名称 | 用户自定义 VPN 网关名称。 |
| VPN 网关规格 | 用户选择VPN网关支持的最大转发能力,普通型VPN网关,最大转发能力200Mbps;增强型VPN网关,最大转发能力1000Mbps。 |
| VPN 描述 | 该 VPN 网关的描述信息。 |
| 网关类型 | 支持公网和私网,公网指通过互联网建立加密隧道,需绑定百度智能云EIP产品。 私网指基于专线接入ET的私网连接建立加密隧道,需确保本端VPN网关和对端VPN网关的IP地址网络可达,如通过专线接入ET的专线通道可达。 |
| VPN 公网带宽 | (可选,仅当网关类型为公网时展示)用户绑定的公网EIP 。 |
| 资源分组 | 选择资源分组 |
| 购买时长 | 选择购买时长 |
| 自动续费 | 选择是否自动续费 |
- 确认订单并进行支付后,IPsec VPN网关创建完成。
创建VPN隧道
-
在 IPsec VPN网关列表页,选择IPsec VPN网关,点击网关最前方的向下箭头出现VPN隧道列表。
说明: 每个IPsec VPN网关最多支持10条IPsec VPN隧道,如果您需要创建更多IPsec VPN隧道,可以提交工单申请。
-
点击 "创建VPN隧道",输入下列配置信息:
基本配置
配置项 说明 所在私有网络 VPN 所属的私有网络(VPC)。 VPN隧道名称 用户自定义VPN隧道名称。 共享密钥 共享密钥是用于验证 IPsec 连接的 Unicode 字符串,本端和对端必须使用相同的预共享密钥。 通信模式 支持目的路由模式和感兴趣流模式。目的路由模式指基于目的IP进行路由转发,不用写协商的本端网段。通常使用网段数量大于2时推荐使用.感兴趣流模式指基于安全联盟SA,需要写协商的本端网络和对端网络。通常使用网段数量较少时使用。 如果选择目的路由模式,本端网段和对端网段均为0.0.0.0/0,需在创建IPsec连接再在VPN网关内手动添加策略路由或目的路由。 本端VPN网关公网IP (可选,仅当网关类型为公网时展示)本端VPN 网关用于公网加密通信的公网IP/带宽。 如VPN网关选择增强型,则本端使用的公网IP/带宽购买需参考弹性公网IP EIP的购买带宽限制细则,详见。 本端私网IP (可选,仅当网关类型为私网时展示) 本端网络 (可选,仅当通信模式为感兴趣流模式时展示该字段),字段表示百度智能云VPC中需要进入VPN隧道的子网。 对端VPN网关公网IP (可选,仅当网关类型为公网时展示)对端网关是指 IDC 机房的 IPsec VPN 服务网关,对端网关需与百度智能云 VPN 网关配合使用。 对端VPN网关IP (可选,仅当网关类型为私网时展示) 需确保本端VPN网关和对端VPN网关的IP地址网络可达,如通过专线接入ET的专线通道可达。 对端网络 对端需要通过VPN隧道连通的网段。 描述 该 VPN 隧道的描述信息。 说明:同一个VPN网关中只能有一种通信模式。即:如第一个隧道使用的通信模式为“目的路由模式”,则后续在同一个网关中新建隧道只能选择“目的路由模式”;如第一个隧道使用的通信模式为“感兴趣流模式”,则后续在同一个网关中新建隧道只能选择“感兴趣流模式”。
高级配置:IKE配置
配置项 说明 版本 选择IKE协议的版本。目前支持IKE V1和IKE V2,建议在设备支持且有多网段和安全性要求较高的情况下,推荐用IKE V2。 协商模式 选择IKE V1版本的协商模式。
- 主模式(main):协商过程安全性高。
- 野蛮模式(aggressive):协商快速且协商成功率高。
协商成功后两种模式的信息传输安全性相同。加密算法 选择第一阶段协商使用的加密算法。支持aes、aes192、aes256和3des,其中3des安全性较低,不推荐使用。 认证算法 第一阶段协商使用的认证算法。支持sha1(安全性较低,不推荐使用)、md5(安全性较低,不推荐使用)、sha2_256、sha2_384和sha2_512。 本端标识 支持 IP address 和 FQDN(全称域名),“本端标识”与隧道对端配置的“远端标识”需一致。 远端标识 支持 IP address 和 FQDN(全称域名),“远端标识”与隧道对端配置的“本端标识”需一致。 DH分组 支持的算法:Group2、Group5、Group14、Group24(推荐使用)、disabled(表示不使用DH密钥交换算法),选择第一阶段协商的Diffie-Hellman密钥交换算法。 SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。默认值为28800秒。 高级配置:IPsec配置
配置项 说明 加密算法 选择第二阶段协商的加密算法。支持aes、aes192、aes256和3des,其中3des安全性较低,不推荐使用。 认证算法 选择第二阶段协商的认证算法。支持sha1(安全性较低,不推荐使用)、md5(安全性较低,不推荐使用)、sha2_256、sha2_384和sha2_512。 DH分组 支持的算法:Group2、Group5、Group14、Group24(推荐使用)、disabled(表示不使用DH密钥交换算法),选择第二阶段协商的Diffie-Hellman密钥交换算法。 SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。默认值为28800秒。
创建用户端VPN网关及参数
用户端网关(对端网关)是指用户机房的IPsec VPN服务网关,对端网关需与百度智能云IPsec VPN网关配合使用,配置时参见VPN隧道高级配置。
说明: 本地IDC的VPN网关设备应开启NAT穿越。
至此,VPN 成功接入。
VPN配置路由表
VPN连接成功后,您需要在VPN隧道两端分别配置路由表,实现云环境和用户侧网络的流量互通。在百度智能云中配置路由表的步骤如下:
- 导航栏选择“路由表”,点击路由表名称进入详情页,点击“添加路由”。
- 输入与访问用户侧网络所关联的路由表。
- 源网段
- 输入目标网段
- 路由类型,选择“VPN网关”
- 下一跳实例,选择已创建的VPN网关
- 点击“确定”,完成路由表配置,关联此路由表子网内的BCC访问用户侧网络时流量将指向该VPN网关。
VPN网关网络地址转换(NAT)配置
网络地址转换(NAT)是混合云场景IP地址冲突问题的一种解决方案。VPN网关支持云端静态NAT、IDC端静态NAT、IDC端DNAT和云端DNAT四种转换规则,可解决VPN网关的IP地址冲突问题,隐藏IP地址实现安全要求。
以下示意图中的本端指的是云上私有网络,对端指的是用户IDC端。
说明: 仅IPsec VPN网关支持NAT功能,SSL VPN网关与GRE VPN网关均不支持NAT。
云端静态NAT
- 云端(本端)IP 转换:指私有网络内原IP映射为新IP,并以新IP身份与VPN对端互访。
- 云端(本端)IP 转换不限制网络请求的方向,可以是私有网络主动访问VPN对端,也可以是VPN对端主动访问私有网络。
IDC端静态NAT
- IDC端(对端)静态NAT指用户IDC 内原IP映射为新IP,并以新 IP 身份与私有网络内IP互访。
- IDC端(对端)静态NAT的转换不限制网络请求的方向,可以是私有网络主动访问VPN对端,也支持VPN对端主动访问私有网络。
IDC端DNAT
IDC端DNAT即本端目的 IP 端口转换是IDC侧主动访问私有网络的一种方法,将私有网络内指定 IP 的指定端口映射为新的 IP 和端口,IDC侧则只可以通过访问映射后 IP 端口来与私有网络内指定 IP 端口通信,其他 IP 端口则不对IDC端暴露。
云端DNAT
云端DNAT将IDC内(对端)指定 IP端口映射为新IP端口,VPC侧只可以通过访问映射后 IP 端口来与IDC内指定 IP 端口通信。
查看监控数据
VPN网关监控
- 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏选择“网络连接->VPN网关”,进入VPN网关实例列表。
- 选择实例后面的"监控",页面右侧出现监控浮窗。
- 点击"查看更多",进入实例详情页面的监控。
- 在监控页面点击“报警详情”进入报警策略配置页面,可以管理VPN网关的报警策略,详细操作步骤请见BCM管理报警。
VPN隧道监控
- 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏选择“网络连接->VPN网关”,进入VPN网关实例列表。
- 在已创建的VPN网关实例列表中,点击“隧道数量”下面的箭头出现VPN隧道列表。
- 选择VPN隧道后面的"监控",出现查看监控数据弹窗。
- 在列表操作中点击“报警详情”进入报警策略配置页面,可以管理VPN隧道的报警策略,详细操作步骤请见BCM管理报警。