VPN网关
所有文档

          私有网络 VPC

          VPN网关

          VPN 连接是一种通过公网加密通道连接您的IDC和私有网络的方式。

          操作流程

          VPC-IPsec VPN 实例可以在控制台实现全自助配置,您需要完成以下几步才能实现使 VPN 连接生效:

          创建VPN网关

          1. 在私有网络VPC控制台左侧导航栏选择VPN网关,进入VPN网关实例列表。

            说明:

            • 如果您需要在非默认VPC中创建 VPN 网关,首先需要在该VPC中创建一个子网,详情请参考创建子网
            • 每个VPC最多支持创建3个 VPN 网关 ,如果您需要创建更多VPN网关,可以提交工单申请。
          2. 导航栏选择"VPN 网关",点击"创建VPN网关"按键。
          3. 填写下列配置信息:

            配置项 说明
            当前地域 支持华北-北京、保定,华南-广州,华东-上海、苏州,华中-武汉,香港及新加坡,通过左上角区域进行切换。其中北京,广州,上海,苏州,武汉支持VPN增强型。
            所在网络 VPN 所属的私有网络(VPC) 。
            VPN 网关名称 用户自定义 VPN 网关名称。
            VPN 网关规格 用户选择VPN网关支持的最大转发能力,普通型VPN网关,最大转发能力200Mbps;增强型VPN网关,最大转发能力1000Mbps。
            VPN 描述 该 VPN 网关的描述信息。
            VPN 公网带宽 用户绑定的公网EIP 。
          4. 选择购买时长,点击"下一步"。
          5. 确认订单详细,进行支付后,VPN 网关创建完成。

          创建VPN隧道

          1. 在 VPN 网关列表页,选择 VPN 网关,点击“隧道数量”下面的箭头出现VPN隧道列表。

            说明: 每个VPN网关最多支持10条VPN隧道,如果您需要创建更多VPN隧道,可以提交工单申请。

          2. 点击 "创建VPN隧道",输入下列配置信息:

            基本配置

            配置项 说明
            所在私有网络 VPN 所属的私有网络(VPC)。
            VPN隧道名称 用户自定义VPN隧道名称。
            共享密钥 共享密钥是用于验证 IPSec 连接的 Unicode 字符串,本端和对端必须使用相同的预共享密钥。
            本端VPN网关公网IP 本端VPN 网关用于公网加密通信的公网IP/带宽。 如VPN网关选择增强型,则本端使用的公网IP/带宽购买需参考弹性公网IP EIP的购买带宽限制细则,详见
            本端网络 百度智能云VPC中需要进入VPN隧道的子网。
            对端VPN网关公网IP 对端网关是指 IDC 机房的 IPsec VPN 服务网关,对端网关需与百度智能云 VPN 网关配合使用。
            对端网络 对端需要通过VPN隧道连通的网段。
            描述 该 VPN 隧道的描述信息。

            高级配置:IKE配置

            配置项 说明
            版本 选择IKE协议的版本。目前支持IKE V1和IKE V2。
            协商模式 选择IKE V1版本的协商模式。
            - 主模式(main):协商过程安全性高。
            - 野蛮模式(aggressive):协商快速且协商成功率高。
            协商成功后两种模式的信息传输安全性相同。
            加密算法 选择第一阶段协商使用的加密算法。支持aes、aes192、aes256和3des。
            认证算法 第一阶段协商使用的认证算法。支持sha1、md5、sha2_256、sha2_384和sha2_512。
            DH分组 选择第一阶段协商的Diffie-Hellman密钥交换算法。
            SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。默认值为28800秒。

            高级配置:IPSec配置

            配置项 说明
            加密算法 选择第二阶段协商的加密算法。支持aes、aes192、aes256和3des。
            认证算法 选择第二阶段协商的认证算法。支持sha1、md5、sha2_256、sha2_384和sha2_512。
            DH分组 选择第二阶段协商的Diffie-Hellman密钥交换算法。
            SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。默认值为28800秒。

          创建用户端VPN网关及参数

          用户端网关(对端网关)是指用户机房的 IPsec VPN 服务网关,对端网关需与百度智能云 VPN 网关配合使用,配置时参见VPN隧道高级配置。

          说明: 本地IDC的VPN网关设备应开启NAT穿越。

          至此,VPN 成功接入。

          为VPN配置路由表

          VPN连接成功后,您需要在VPN隧道两端分别配置路由表,实现云环境和用户侧网络的流量互通。在百度智能云中配置路由表的步骤如下:

          1. 导航栏选择“路由表”,在路由表列表中,点击“添加路由”。
          2. 输入与访问用户侧网络所关联的路由表。

            • 源网段
            • 输入目标网段
            • 路由类型,选择“VPN网关”
            • 下一跳实例,选择已创建的 VPN 网关
          3. 点击“确定”,完成路由表配置,关联此路由表子网内的BCC访问用户侧网络时流量将指向该VPN网关。

          查看监控数据

          VPN网关监控

          1. 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏选择VPN网关,进入VPN网关实例列表。
          2. 选择实例后面的"监控",页面右侧出现监控浮窗。
          3. 点击"查看更多",进入实例详情页面的监控。
          4. 在监控页面点击“报警详情”进入报警策略配置页面,可以管理VPN网关的报警策略,详细操作步骤请见BCM管理报警

          VPN隧道监控

          1. 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏选择VPN网关,进入VPN网关实例列表。
          2. 在已创建的VPN网关实例列表中,点击“隧道数量”下面的箭头出现VPN隧道列表。
          3. 选择VPN隧道后面的"监控",出现查看监控数据弹窗。
          4. 在列表操作中点击“报警详情”进入报警策略配置页面,可以管理VPN隧道的报警策略,详细操作步骤请见BCM管理报警
          上一篇
          NAT网关
          下一篇
          对等连接