创建VPN网关

操作场景

您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，需要先创建VPN网关。在您购买VPN网关时，可以同时购买一条与其关联的VPN连接。

前置条件

• 请确认VPC已经创建完成。
• 请确认VPC的安全组规则已经配置，ECS通信正常。

操作步骤

1. 登录管理控制台。
2. 在管理控制台上方选择区域与项目。
3. 在系统首页，单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。
5. 在“VPN网关”界面，单击“创建VPN网关”。
6. 根据界面提示配置参数，并单击“立即购买”。
7. 确认购买的VPN网关信息，单击“提交”。

VPN网关创建成功后，系统会分配一个公网出口IP，即VPN网关列表中“网关IP”对应显示的IP地址。该网关IP也是用户侧VPN网络配置对应的远端网关IP。

                    
注意
                    
以下算法安全性较低，请慎用：
认证算法：SHA1、MD5。
加密算法：3DES。
DH算法：Group 1、Group 2、Group 5。


                    
                  
                  

创建VPN连接

操作场景

您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，创建VPN网关后需要创建VPN连接。

操作步骤

1. 登录管理控制台。
2. 在管理控制台上方选择区域与项目。
3. 在系统首页，单击“网络 > 虚拟专用网络”。
4. 在左侧导航栏选择“虚拟专用网络 > VPN连接”。
5. 在“VPN连接”页面，单击“创建VPN连接”。
6. 根据界面提示配置参数，并单击“立即购买”。
7. 单击“提交”。
8. 因为隧道的对称性，还需要在您自己数据中心的路由器或者防火墙上进行IPsec VPN隧道配置。

                    
说明
                    
IKE策略指定了IPsec隧道在协商阶段的加密和认证算法，IPsec策略指定了IPsec在数据传输阶段所使用的协议，加密以及认证算法；这些参数在VPC上的VPN连接和您数据中心的VPN中需要进行相同的配置，否则会导致VPN无法建立连接。
以下算法安全性较低，请慎用：
认证算法：SHA1、MD5。
加密算法：3DES。
DH算法：Group 1、Group 2、Group 5。
                    
                  
                  

配置对端设备

配置对端设备可参见以下示例，帮助您配置本地的VPN设备，实现您本地网络与天翼云VPC子网的互联互通。

示例：HUAWEI USG6600配置

本章节以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。

假设数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，VPC上IPsec隧道的出口公网IP为1.1.1.1（从VPC上IPsec VPN的本端网关参数上获取）。

配置步骤

1. 登录防火墙设备的命令行配置界面。

2. 查看防火墙版本信息。
   display version
   17:20:502017/03/09
   Huawei Versatile Security Platform Software
   Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30)

3. 创建ACL并绑定到对应的vpn-instance。
   acl number 3065 vpn-instance vpn64
   rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
   rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
   rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
   q

4. 创建ike proposal。
   ike proposal 64
   dh group5
   authentication-algorithm sha1
   integrity-algorithm hmac-sha2-256
   sa duration 3600
   q

5. 创建ike peer，并引用之前创建的ike proposal，其中对端IP地址是1.1.1.1。
   ike peer vpnikepeer_64
   pre-shared-key ******** （********为您输入的预共享密码）
   ike-proposal 64
   undo version 2
   remote-address vpn-instance vpn64 1.1.1.1
   sa binding vpn-instance vpn64
   q

6. 创建IPsec协议。
   IPsec proposal IPsecpro64
   encapsulation-mode tunnel
   esp authentication-algorithm sha1
   q

7. 创建IPsec策略，并引用ike policy和IPsec proposal。
   IPsec policy vpnIPsec64 1 isakmp
   security acl 3065
   pfs dh-group5
   ike-peer vpnikepeer_64
   proposal IPsecpro64
   local-address xx.xx.xx.xx
   q

8. 将IPsec策略应用到相应的子接口上。

   interface GigabitEthernet0/0/2.64
   IPsec policy vpnIPsec64
   q

9. 测试连通性。
   在上述配置完成后，我们可以利用您在云中的云主机和您数据中心的主机进行连通性测试。