用户指南（海外区域）

Size: px

Start display at page:

Download "用户指南（海外区域）"

域溥
5 years ago
Views:

1 虚拟专用网络用户指南 ( 海外区域 ) 文档版本 01 发布日期华为技术有限公司

2 版权所有华为技术有限公司 2018 保留一切权利非经本公司书面许可, 任何单位和个人不得擅自摘抄复制本文档内容的部分或全部, 并不得以任何形式传播商标声明和其他华为商标均为华为技术有限公司的商标本文档提及的其他所有商标或注册商标, 由各自的所有人拥有注意您购买的产品服务或特性等应受华为公司商业合同和条款的约束, 本文档中描述的全部或部分产品服务或特性可能不在您的购买或使用范围之内除非合同另有约定, 华为公司对本文档内容不做任何明示或默示的声明或保证由于产品版本升级或其他原因, 本文档内容会不定期进行更新除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述信息和建议不构成任何明示或暗示的担保华为技术有限公司地址 : 深圳市龙岗区坂田华为总部办公楼邮编 : 网址 : 客户服务邮箱 : support@huawei.com 客户服务电话 : i

3 目录目录 1 简介概念虚拟专用网络 IPSec VPN 应用场景使用约束 VPN 参考标准和协议入门创建虚拟私有云基本信息及默认子网为虚拟私有云创建新的子网创建 VPN 配置安全组策略创建安全组基本信息为安全组添加安全组规则删除安全组规则管理配置 VPN 对端设备 HUAWEI USG6600 配置示例 CISCO CISCO-2900 配置示例查看已申请 VPN 连接查看已申请的 VPN 网关修改已申请的 VPN 网关修改已创建的 VPN 连接删除 VPN 网关删除 VPN 连接 VPN 最佳实践通过 VPN 连接 VPC 常见问题一个用户下支持多少个 IPSec VPN? IPSec VPN 是否会自动进行协商? VPN 参考标准和协议有哪些? 如何解决 VPN 无法建立连接问题? ii

4 目录 5.5 VPN 连接建立后您的数据中心或局域网无法访问弹性云服务器? VPN 连接建立后, 弹性云服务器无法访问您的数据中心或局域网? VPN 支持将两个 VPC 互连吗? VPN 本端子网和远端子网数量有什么限制? 为什么 VPN 创建成功后状态显示未连接? VPN 配置下发后, 多久能够生效? 如何配置 VPN 对端设备?(HUAWEI USG6600 配置示例 ) 对端 VPN 设备支持列表? A 修订记录 iii

5 1 简介 1 简介 1.1 概念虚拟专用网络 IPSec VPN 虚拟专用网络即 VPN(Virtual Private Network), 用于在远端用户和 VPC 之间建立一条安全加密的通信隧道当您作为远端用户需要访问 VPC 的业务资源时, 您可以通过 VPN 连通 VPC 另外, 默认情况下, 在 Virtual Private Cloud (VPC) 中的无法与您自己的数据中心或私有网络进行通信如果您需要将 VPC 中的和您的数据中心或私有网络连通, 可以启用 VPN 功能 IPSec VPN 是一种加密的隧道技术, 通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道如图 1-1 所示, 假设您在云中已经申请了 VPC, 并申请了 2 个子网 ( /24, /24), 您在自己的数据中心 Router 下也有 2 个子网 ( /24, /24) 您可以通过 VPN 使 VPC 内的子网与数据中心的子网互相通信目前我们支持点到点 VPN(Site-to-Site VPN) 和点到多点 VPN(Hub-Spoke VPN), 需要您在自己的数据中心内也搭建 VPN VPC 内的 VPN 和您搭建的 VPN, 需要保证 IKE 策略以及 IPsec 策略配置一致在配置前, 请参考表 1-1 了解相关术语, 并确认您的设备满足以下协议, 以及相关配置的约束表 1-1 术语解释参数说明限制 RFC 2409 定义了 Internet 密钥交换 (IKE) 协议, 它是用于协商和验证密钥信息来保护连接的使用预共享密钥进行 IKE 协议的建立使用主模式进行协商 1

6 1 简介参数说明限制 RFC 4301 定义了 IPSec 的架构,IPSec 能够提供的安全服务, 以及各个组件之间如何配置工作的请使用 IPSec 隧道模式建立 VPN 连接图 1-1 IPSec VPN 1.2 应用场景通过 VPN 在传统数据中心与 VPC 之间建立通信隧道, 您可方便地使用云平台的云服务器块存储等资源 ; 应用程序转移到云中启动额外的 Web 服务器增加网络的计算容量, 从而实现企业的混合云架构, 既降低了企业 IT 运维成本, 又不用担心企业核心数据的扩散 VPN 支持不同 VPC 下多个本端网关与同一个远端网关建立 IPSec VPN 隧道图 1-2 多个本端网关同一个远端网关建立 VPN 如图 1-2 所示,VPC1 的 Subnet1: /24 通过本端网关和远端网关建立的 IPSec VPN 隧道和远端子网 /24 通信,VPC2 的 Subnet2: /24 通过本端网关和远端网关建立的 IPSec VPN 隧道和远端子网 /24 通信此应用场景 Subnet1 和 Subnet2 的地址空间不能重叠 2

7 1 简介 1.3 使用约束关于 VPN 的使用, 您需要注意以下几点 : 每个账号默认最多申请 2 个 VPN 网关每个账号默认 2 个 VPN 连接, 可申请配额扩容至 20 个如需更多连接数需咨询管理员方案 1.4 VPN 参考标准和协议与 IPSec 特性相关的参考标准与协议如下 : RFC 4301:Security Architecture for the Internet Protocol RFC 2403:The Use of HMAC-MD5-96 within ESP and AH RFC 2409:The Internet Key Exchange (IKE) RFC 2857:The Use of HMAC-RIPEMD within ESP and AH RFC 3566: The AES-XCBC-MAC-96 Algorithm and its use with IPsec RFC 3625:More Modular Exponential (MODP)Diffie-Hellman groups for Internet Key Exchange (IKE) RFC 3664:The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 3706:A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers RFC 3748:Extensible Authentication Protocol(EAP) RFC 3947:Negotiation of NAT-Traversal in the IKE RFC 4109:Algorithms for Internet Key Exchange version 1 (IKEv1) RFC 3948:UDP Encapsulation of IPsec ESP Packets RFC 4305:Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) RFC 4306:Internet Key Exchange (IKEv2)Protocol RFC 4307:Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2) RFC 4322:Opportunistic Encryption using the Internet Key Exchange (IKE) RFC 4359:The Use of RSA/SHA-1 Signatures within Encapsulating Security Payload (ESP) and Authentication Header (AH) RFC 4434:The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 4478:Repeated Authentication in Internet Key Exchange (IKEv2) RFC 5996:Internet Key Exchange Protocol Version 2 (IKEv2) 3

8 2 入门 2 入门 2.1 创建虚拟私有云基本信息及默认子网操作场景虚拟私有云可以为您的构建隔离的用户自主配置和管理的虚拟网络环境 2.2 为虚拟私有云创建新的子网操作场景申请 VPC 时会创建一个子网, 当该 VPC 还需要添加其他子网时, 可以通过创建新的子网来为 VPC 增加用户自己的私有网络创建的子网默认配置 DHCP 协议, 即使用该 VPC 的启动过后, 会通过 DHCP 协议自动获取到 IP 地址操作步骤 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择虚拟私有云 4. 在虚拟私有云列表中, 单击需要创建子网的虚拟私有云名称 5. 在子网页签中, 单击创建子网 6. 在创建子网提示框中, 根据界面提示配置参数表 2-1 参数说明参数说明取值样例名称子网的名称 Subnet 4

9 2 入门参数说明取值样例子网网段子网的地址范围, 需要在 VPC 的地址范围内 /24 网关子网的网关默认情况下使用网络外部 DNS 服务器地址, 如果需要修改 DNS 服务器地址, 请单击自定义配置进行配置请确保配置的 DNS 服务器地址可用 8. 单击确定注意事项子网创建成功后, 有 5 个系统保留地址您不能使用以 /24 的子网为例, 默认 5 个系统保留地址如下 : : 网络地址 : 网关地址 :DHCP 服务地址 : 系统接口, 用于 VPC 对外通信 : 广播地址如果您在创建子网时选择了自定义配置, 系统保留地址可能与上面默认的不同, 系统会根据您的配置进行自动分配 2.3 创建 VPN 简介默认情况下, 在 Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信如果您需要将 VPC 中的弹性云服务器和您的数据中心或私有网络连通, 可以启用虚拟专用网络功能此操作您需要在 VPC 中创建 VPN 并更新安全组规则简单的 IPsecVPN 内网对连拓扑说明如图 2-1 所示, 假设您在云中已经申请了 VPC, 并申请了 2 个子网 ( /24, /24), 您在自己的数据中心 Router 下也有 2 个子网 ( /24, /24) 您可以通过 VPN 使 VPC 内的子网与数据中心的子网互相通信 5

10 2 入门图 2-1 IPSec VPN 目前我们支持点到点 VPN(Site-to-Site VPN) 和点到多点 VPN(Hub-Spoke VPN), 除了在 VPC 中搭建 VPN, 您还需在自己的数据中心内也搭建 VPN VPC 内的 VPN 和您搭建的 VPN, 需要保证 IKE 策略以及 IPsec 策略配置一致在配置前, 请参考表 2-2 了解相关术语, 并确认您的设备满足以下协议, 以及相关配置的约束表 2-2 术语解释参数说明限制 RFC 2409 定义了 Internet 密钥交换 (IKE) 协议, 它是用于协商和验证密钥信息来保护连接的使用预共享密钥进行 IKE 协议的建立使用主模式和野蛮模式进行协商 RFC 4301 定义了 IPSec 的架构,IPSec 能够提供的安全服务, 以及各个组件之间如何配置工作的请使用 IPSec 隧道模式建立 VPN 连接操作场景通过执行该任务, 您可以创建 VPN, 以便在您的数据中心与云服务之间建立一条保密而安全的通信隧道说明目前, 该功能仅对法国 Region 开放申请 VPN 网关 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择虚拟专用网络 > VPN 网关 4. 在 VPN 网关界面, 单击创建 VPN 网关 6

11 2 入门 5. 根据界面提示配置参数, 并单击 Create Now 表 2-3 VPN 网关参数说明分类参数说明取值样例基本信息当前区域区域指虚拟私有云所在的物理位置同一区域内可用分区间内网互通, 不同区域间内网不互通可以在管理控制台左上角切换区域 - VPC VPN 接入的 VPC 名称 vpc-001 名称 VPN 网关名称 vpngw-001 类型 VPN 类型默认为选择 IPsec IPsec 带宽本地 VPN 网关的带宽大小, 单位 Mbit/s 在 VPN 使用过程中, 当网络流量超过 VPN 带宽时有可能造成网络拥塞导致 VPN 连接中断, 请用户提前做好带宽规划可以在 CES 监控中配置告警规则对带宽进行监控 100 可靠性当前环境下仅支持双活双活 6. 确认信息正确后, 单击提交说明 VPN 网关创建完成后,VPN 网关的状态为创建中当有 VPN 连接使用该 VPN 网关时,VPN 网关的状态更新为正常申请 VPN 连接 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择虚拟专用网络 > VPN 连接 4. 在 VPN 连接页面, 单击创建 VPN 连接 5. 根据界面提示配置参数, 并单击 Create Now 表 2-4 VPN 连接参数说明分类参数说明取值样例基本信息当前区域区域指虚拟私有云所在的物理位置同一区域内可用分区间内网互通, 不同区域间内网不互通可以在管理控制台左上角切换区域 - 7

12 2 入门分类参数说明取值样例 VPN 网关 VPN 连接挂载的 VPN 网关名称 vpcgw-001 名称 VPN 连接名称 vpn-001 预共享密钥预共享密钥 (Pre Shared Key), 取值范围为 6~128 位此项配置在 VPC 的 VPN 和您的数据中心的 VPN 中, 配置需要一致确认密钥再次输入预共享密钥本端子网远端网关远端子网高级配置 VPC 内需要与您的数据中心或者私有网络互通的子网支持以下方式设置本端子网选择子网手动输入网段您的数据中心或私有网络中 VPN 的公网 IP 地址, 用于与 VPC 内的 VPN 互通在双活网关下支持输入 2 个远端网关 IP 地址您的数据中心或私有网络中需要与 VPC 通信的子网地址远端子网网段不能被本端子网网段覆盖, 也不能与本端 VPC 已有的对等连接网段重合默认配置自定义配置 : 自定义配置 IKE 策略和 IPsec 策略相关配置说明请参考表 2-5 和表 /24, / /24, /24 自定义配置表 2-5 IKE 策略参数说明取值样例认证算法认证哈希算法, 支持的算法 :sha1 sha2-256 sha2-384 sha2-512 md5 加密算法加密算法, 支持的算法 :aes-128 aes-192 aes-256 3des( 有安全风险不推荐 ) sha1 aes-128 DH 算法 Diffie-Hellman 密钥交换算法, 支持的算法 :group2 group5 group14 group5 版本 IKE 密钥交换协议版本, 支持的版本 : v1 v2 v1 8

13 2 入门参数说明取值样例生命周期 ( 秒 ) 协商模式安全联盟 (SA Secuity Associations) 的生存时间, 单位 : 秒在超过生存时间后, 安全联盟将被重新协商选择 IKE 策略版本未 v1 时, 可以配置协商模式, 取值支持 main aggressive 默认配置为 :main main 表 2-6 IPsec Policy 策略参数说明取值样例认证算法认证哈希算法, 支持的算法 :sha1 sha2-256 sha2-384 sha2-512 md5 加密算法加密算法, 支持的算法 :aes-128 aes-192 aes-256 3des( 有安全风险不推荐 ) sha1 aes-128 DH 算法传输协议生命周期 ( 秒 ) Diffie-Hellman 密钥交换算法, 支持的算法 :group2 group5 group14 IPSec 传输和封装用户数据时使用的安全协议, 目前支持的协议 :ah esp ah-esp 安全联盟 (SA Secuity Associations) 的生存时间, 单位 : 秒在超过生存时间后, 安全联盟将被重新协商 group5 esp 3600 说明 IKE 策略指定了 IPSec 隧道在协商阶段的加密和认证算法,IPSec 策略指定了 IPSec 在数据传输阶段所使用的协议, 加密以及认证算法 ; 这些参数在 VPC 上的 VPN 连接和您数据中心的 VPN 中需要进行相同的配置, 否则会导致 VPN 无法建立连接 6. 单击提交创建成功后云为该 IPSec VPN 分配一个公网出口 IP 地址该地址为 VPN 页面中, 已创建的 VPN 的本端网关地址在您自己数据中心配置对端隧道时, 远端网关需要配置为该 IP 地址 7. 因为隧道的对称性, 还需要在您自己数据中心的路由器或者防火墙上进行 IPSecVPN 隧道配置 VPN 配置样例请参考 5.11 如何配置 VPN 对端设备?(HUAWEI USG6600 配置示例 ) VPN 连接支持的协议参考 5.3 VPN 参考标准和协议有哪些? 9

14 2 入门 VPN 设备支持列表请参考 5.12 对端 VPN 设备支持列表? 2.4 配置安全组策略创建安全组基本信息简介操作场景安全组是一组对弹性云服务器的访问规则的集合, 为同一个 VPC 内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略您可以创建安全组并定义安全组中的规则, 将 VPC 中的弹性云服务器划分成不同的安全域, 以提升弹性云服务器访问的安全性创建安全组成功后, 没有自定义规则的安全组即具备默认的安全组规则 VPC 内的安全组默认不允许任何源访问, 因此如果需要使用 VPN 让云上云下设备互通, 则需要在配置改 VPC 的安全组规则, 允许对端 VPN 设备访问该 VPC 操作步骤 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航树选择安全组 4. 在安全组界面, 单击创建安全组 5. 在创建安全组下拉区域, 根据界面提示配置参, 参数说明参考表 2-7 表 2-7 参数说明参数参数说明取值样例名称描述安全组的名称, 必填项安全组的名称只能由英文字母数字 _ - 和. 组成, 且不能有空格, 长度不能大于 64 个字符说明安全组名称创建后可以修改, 建议不要重名安全组的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < 和 > sg-34d6-10

15 2 入门 6. 单击确定为安全组添加安全组规则操作场景安全组的默认规则是在出方向上的数据报文全部放行, 安全组内的弹性云服务器无需添加规则即可互相访问安全组创建后, 您可以在安全组中定义各种访问规则, 当弹性云服务器加入该安全组后, 即受到这些访问规则的保护当需要从安全组外访问安全组内的弹性云服务器时, 需要为安全组添加相应的入方向规则, 例如 : 使用 mstsc 方式远程访问 Windows 系统的弹性云服务器, 需要添加协议为 TCP 端口为 3389 的入方向规则使用 ssh 方式远程访问 Linux 系统的弹性云服务器, 需要添加协议为 TCP 端口为 22 的入方向规则源地址需要设置为包含远程登录弹性云服务器的机器所在的 IP 地址范围建议将不同公网访问策略的弹性云服务器划分到不同的安全组说明源地址默认的 IP 地址 /0 是指允许所有 IP 地址访问安全组内的弹性云服务器操作步骤 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航树选择安全组 4. 在安全组界面, 单击操作列的配置规则, 进入安全组详情界面 5. 在入方向页签, 单击添加规则, 添加入方向规则单击 + 可以依次增加多条入方向规则表 2-8 入方向参数说明参数协议说明网络协议, 取值范围为 :TCP,UDP,ICMP,ANY 取值样例 TCP 端口范围规则的端口范围, 取值范围为 :1~ 或源地址可以是 IP 地址, 也可以是安全组例如 : xxx.xxx.xxx.xxx/32(ipv4 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) /0 default 11

16 2 入门参数描述说明安全组的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < 和 > 取值样例 - 6. 在出方向页签, 单击添加规则, 添加出方向规则单击 + 可以依次增加多条出方向规则表 2-9 出方向参数说明参数协议说明网络协议, 取值范围为 :TCP,UDP,ICMP,ANY 取值样例 TCP 端口范围规则的端口范围, 取值范围为 :1~ 或目的地址描述可以是 IP 地址, 也可以是安全组例如 : xxx.xxx.xxx.xxx/32(ipv4 地址 ) xxx.xxx.xxx.0/24( 子网 ) /0( 任意地址 ) 安全组的描述信息, 非必填项描述信息内容不能超过 255 个字符, 且不能包含 < 和 > /0 default 删除安全组规则操作场景操作步骤当安全组规则入方向出方向源 IP 地址有变化时, 可以通过先删除安全组规则之后重新添加安全组规则的方式进行安全组规则的更新 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航树选择安全组 4. 在安全组界面, 单击安全组名, 进入安全组详情界面 5. 当不需要安全组规则时, 单击规则所在行的删除 12

17 2 入门 6. 单击确定 13

18 3 管理 3 管理 3.1 配置 VPN 对端设备因为隧道的对称性, 在云上的 VPN 参数和您的 VPN 中需要进行相同的配置, 否则会导致 VPN 无法建立连接在您自己数据中心的路由器或者防火墙上需要进行 IPSec VPN 隧道配置, 具体配置方法取决于您使用的网络设备, 请查询对应设备厂商的指导书本文以 Huawei USG6600 系列 V100R001C30SPC300 版本的防火墙和 CISCO 2900 系列 15.0 版本的防火墙配置为例进行说明, 供参考 HUAWEI USG6600 配置示例本章节以 Huawei USG6600 系列 V100R001C30SPC300 版本的防火墙的配置过程为例进行说明, 供参考假设数据中心的子网为 /24 和 /24,VPC 下的子网为 /24 和 /24,VPC 上 IPSec 隧道的出口公网 IP 为 ( 从 VPC 上 IPSec VPN 的本端网关参数上获取 ) 操作步骤 1. 登录防火墙设备的命令行配置界面 2. 查看防火墙版本信息 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) Copyright (C) Huawei Technologies Co., Ltd.. 3. 创建 ACL 并绑定到对应的 vpn-instance acl number 3065 vpn-instance vpn64 rule 1 permit ip source destination rule 2 permit ip source destination rule 3 permit ip source destination rule 4 permit ip source destination q 4. 创建 ike proposal ike proposal 64 dh group5 14

19 3 管理 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q 5. 创建 ike peer, 并引用之前创建的 ike proposal, 其中对端 IP 地址是 ike peer vpnikepeer_64 pre-shared-key ******** (******** 为您输入的预共享密码 ) ike-proposal 64 undo version 2 remote-address vpn-instance vpn sa binding vpn-instance vpn64 q 6. 创建 IPSec 协议 ipsec proposal ipsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q 7. 创建 IPSec 策略, 并引用 ike policy 和 ipsec proposal ipsec policy vpnipsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal ipsecpro64 local-address xx.xx.xx.xx q 8. 将 IPSec 策略应用到相应的子接口上去 interface GigabitEthernet0/0/2.64 ipsec policy vpnipsec64 q 9. 测试连通性在上述配置完成后, 我们可以利用您在云中的主机和您数据中心的主机进行连通性测试, 如下图所示 : CISCO CISCO-2900 配置示例本章节以 CISCO 2900 系列 15.0 版本的防火墙配置过程为例进行说明, 供参考 15

20 3 管理假设数据中心的子网为 /24 和 /24,VPC 下的子网为 /24 和 /24,VPC 上 IPSec 隧道的出口公网 IP 为 ( 从 VPC 上 IPSec VPN 的本端网关参数上获取 ) 操作步骤 1. 登录防火墙设备的命令行配置界面 2. 配置 isakmp 策略 crypto isakmp policy 1 authentication pre-share encryption aes 256 hash sha group 5 lifetime 配置预共享密钥 crypto isakmp key ******** address (******** 为您输入的预共享密钥 ) 4. 配置 IPSec 安全协议 crypto ipsec transform-set ipsecpro64 esp-aes 256 esp-sha-hmac mode tunnel 5. 配置 ACL( 访问控制列表 ), 定义需要保护的数据流 access-list 100 permit ip access-list 100 permit ip access-list 100 permit ip access-list 100 permit ip 配置 IPSec 策略 crypto map vpnipsec64 10 ipsec-isakmp set peer set transform-set ipsecpro64 set pfs group5 match address 在接口上应用 IPSec 策略 interface g0/0 crypto map vpnipsec64 8. 测试连通性在上述配置完成后, 我们可以利用您在云中的主机和您数据中心的主机进行连通性测试, 如下图所示 : 16

21 3 管理 3.2 查看已申请 VPN 连接操作场景用户申请 VPN 连接后, 可以查看已申请的 VPN 连接操作步骤 1. 在左侧导航栏选择虚拟专用网络 > VPN 连接 2. 在 VPN 连接页面的 VPN 连接列表中可以查看 VPN 连接 3.3 查看已申请的 VPN 网关操作场景用户申请 VPN 网关后, 可以查看已申请的 VPN 网关操作步骤 1. 在系统首页, 单击网络 > 虚拟私有云 2. 在左侧导航栏选择虚拟专用网络 > VPN 网关 3. 在 VPN 网关页面的 VPN 网关列表中可以查看 VPN 网关 3.4 修改已申请的 VPN 网关操作场景 VPN 网关是 VPC 中建立 IPsec VPN 的出口网关, 用于 VPC 和外部数据中心之间建立安全可靠的加密网络通信当已有 VPN 网关的名称带宽大小等网络参数有变化时, 可以修改 VPN 网关操作步骤 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择虚拟专用网络 > VPN 网关 4. 在 VPN 网关界面所需修改的 VPN 网关所在行, 单击修改 5. 根据界面提示配置参数 6. 单击确定 17

22 3 管理 3.5 修改已创建的 VPN 连接操作场景 VPN 连接是建立 VPN 网关和外部数据中心 VPN 网关之间的加密通道当 VPN 连接的网络参数变化时, 可以修改 VPN 连接操作步骤 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择虚拟专用网络 > VPN 连接 4. 在 VPN 连接界面所需修改的 VPN 连接所在行, 单击修改 5. 根据界面提示配置参数 6. 单击确定 3.6 删除 VPN 网关操作场景当无需使用 VPN 网关时, 可删除 VPN 网关已被 VPN 连接使用的 VPN 网关不可删除, 请先删除相关的 VPN 连接, 再删除 VPN 网关操作步骤 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择虚拟专用网络 > VPN 网关 4. 在 VPN 网关界面所需删除的 VPN 网关所在行, 单击删除 5. 单击确定 3.7 删除 VPN 连接操作场景当无需使用 VPN 网络需要释放网络资源时, 可删除 VPN 连接操作步骤 1. 登录管理控制台 2. 在系统首页, 单击网络 > 虚拟私有云 3. 在左侧导航栏选择虚拟专用网络 > VPN 连接 4. 在 VPN 连接界面所需删除的 VPN 连接所在行, 单击删除 18

23 3 管理 5. 单击确定 19

24 4 VPN 最佳实践 4 VPN 最佳实践 4.1 通过 VPN 连接 VPC 操作场景前提条件默认情况下, 在 Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信如果您需要将 VPC 中的弹性云服务器和您的数据中心或私有网络连通, 可以启用 VPN 功能申请 VPN 后, 用户需要配置安全组并检查本段与对端网络的连通性, 以确保 VPN 功能可用主要场景分为两类 : 点对点 VPN: 本端为处于公有云平台上的一个 VPC, 对端为数据中心, 通过 VPN 建立用户数据中心与 VPC 之间建立通信隧道点对多点 VPN: 本端为处于公有云平台上的多个 VPC, 对端为数据中心, 通过 VPN 建立用户数据中心与不同 VPC 之间建立通信隧道配置 VPN 时需要注意以下几点 : 本端子网与对端子网不能重叠本端子网网段不能重叠本端和对端的 IKE 策略相同本端和对端的 IPSec 策略相同本端和对端子网, 网关等参数对称本端和对端的 PSK 相同 VPC 内弹性云服务器安全组允许访问对端和被对端访问 VPN 对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN 的状态才会刷新为正常已创建 VPN 所需的虚拟私有云和子网操作步骤 1. 在管理控制台上, 选择合适的 IKE 策略和 IPsec 策略申请 VPN 20

25 4 VPN 最佳实践 2. 检查本端和对端子网的 IP 地址池如图 4-1 所示, 假设您在云中已经申请了 VPC, 并申请了 2 个子网 ( /24, /24), 您在自己的数据中心 Router 下也有 2 个子网 ( /24, /24) 您可以通过 VPN 使 VPC 内的子网与数据中心的子网互相通信图 4-1 IPSec VPN 本端和对端子网 IP 池不能重合例如, 本端 VPC 有两个子网, 分别为 : /24 和 /24, 那么对端子网的 IP 地址池不能包含本端 VPC 的这两个子网 3. 配置 VPC 的安全组策略 4. 检查 VPC 安全组安全组必须放通来自 VPN 的报文可以使用 ping 方法来检查 VPC 安全组是否放通 5. 检查远端 LAN 配置 ( 即对端数据中心网络配置 ) 在远程 LAN( 对端数据中心网络 ) 配置中有可以将 VPN 流量转发到 LAN 中网络设备的路由如果 VPN 流量无法正常通信, 请检查远程 LAN 是否存在拒绝策略 21

26 5 常见问题 5 常见问题 5.1 一个用户下支持多少个 IPSec VPN? 一个用户默认只能配置 5 个 IPSec VPN, 如果规格不能满足需求, 可以申请扩容 5.2 IPSec VPN 是否会自动进行协商? 支持自动协商 5.3 VPN 参考标准和协议有哪些? 与 IPSec 特性相关的参考标准与协议如下 : RFC 4301:Security Architecture for the Internet Protocol RFC 2403:The Use of HMAC-MD5-96 within ESP and AH RFC 2409:The Internet Key Exchange (IKE) RFC 2857:The Use of HMAC-RIPEMD within ESP and AH RFC 3566: The AES-XCBC-MAC-96 Algorithm and its use with IPsec RFC 3625:More Modular Exponential (MODP)Diffie-Hellman groups for Internet Key Exchange (IKE) RFC 3664:The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 3706:A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers RFC 3748:Extensible Authentication Protocol(EAP) RFC 3947:Negotiation of NAT-Traversal in the IKE RFC 4109:Algorithms for Internet Key Exchange version 1 (IKEv1) RFC 3948:UDP Encapsulation of IPsec ESP Packets RFC 4305:Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) 22

27 5 常见问题 RFC 4306:Internet Key Exchange (IKEv2)Protocol RFC 4307:Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2) RFC 4322:Opportunistic Encryption using the Internet Key Exchange (IKE) RFC 4359:The Use of RSA/SHA-1 Signatures within Encapsulating Security Payload (ESP) and Authentication Header (AH) RFC 4434:The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 4478:Repeated Authentication in Internet Key Exchange (IKEv2) RFC 5996:Internet Key Exchange Protocol Version 2 (IKEv2) 5.4 如何解决 VPN 无法建立连接问题? 1. 检查云上和对端 VPN 的参数是否一致表 5-1 基本参数参数说明取值样例 PSK 预共享密钥 (Pre Shared Key), 取值范围为 6~128 位此项配置在 VPC 的 VPN 和您的数据中心的 VPN 中, 配置需要一致 Test@123 表 5-2 IKE 策略参数说明取值样例认证算法认证哈希算法, 支持的算法 :sha1 sha2-256 sha2-384 sha2-512 md5 加密算法加密算法, 支持的算法 :aes-128 aes-192 aes-256 3des( 有安全风险不推荐 ) sha1 aes-128 DH 算法 Diffie-Hellman 密钥交换算法, 支持的算法 :group2 group5 group14 group5 版本 IKE 密钥交换协议版本, 支持的版本 : v1 v2 v1 生命周期 ( 秒 ) 协商模式安全联盟 (SA Secuity Associations) 的生存时间, 单位 : 秒在超过生存时间后, 安全联盟将被重新协商选择 IKE 策略版本为 v1 时, 可以配置协商模式, 取值支持 main aggressive 默认配置为 :main main 23

28 5 常见问题表 5-3 IPsec Policy 策略参数说明取值样例认证算法认证哈希算法, 支持的算法 :sha1 sha2-256 sha2-384 sha2-512 md5 加密算法加密算法, 支持的算法 :aes-128 aes-192 aes-256 3des( 有安全风险不推荐 ) sha1 aes-128 DH 算法传输协议生命周期 ( 秒 ) Diffie-Hellman 密钥交换算法, 支持的算法 :group2 group5 group14 IPSec 传输和封装用户数据时使用的安全协议, 目前支持的协议 :ah esp ah-esp 安全联盟 (SA Secuity Associations) 的生存时间, 单位 : 秒在超过生存时间后, 安全联盟将被重新协商 group5 esp 检查 ACL 是否配置正确假设您的数据中心的子网为 /24 和 /24,VPC 下的子网为 /24 和 /24, 则你在数据中心或局域网中的 ACL 应对你的每一个数据中心子网配置允许 VPC 下的子网通信的规则, 如下例 : rule 1 permit ip source destination rule 2 permit ip source destination rule 3 permit ip source destination rule 4 permit ip source destination VPN 连接建立后您的数据中心或局域网无法访问弹性云服务器? 我们提供的安全组默认不允许任何源访问, 请确认您的安全组是否配置允许对端的子网地址访问 5.6 VPN 连接建立后, 弹性云服务器无法访问您的数据中心或局域网? 需要确认是否已做好 VPN 公网 IP 到您的数据中心或局域网公网 IP 的防火墙策略, 云上出口未做策略限制 5.7 VPN 支持将两个 VPC 互连吗? 如果两个 VPC 位于同一区域内, 可以使用 VPC 对等连接互连如果两个 VPC 位于不同区域, 可以通过 VPN 连接, 分别把这两个 VPC 的 CIDR 作为本端子网和远端子网 24

29 5 常见问题 5.8 VPN 本端子网和远端子网数量有什么限制? VPN 本端子网和远端子网数量乘积最大支持到 1000 的规模 5.9 为什么 VPN 创建成功后状态显示未连接? VPN 对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN 的状态才会刷新为正常 IKE v1 版本 : 如果 VPN 连接经历了一段无流量的空闲时间, 则需要重新协商协商时间取决于 IPsec Policy 策略中的生命周期 ( 秒 ) 取值生命周期 ( 秒 ) 取值一般为 3600(1 小时 ), 会在第 54 分钟时重新发起协商若协商成功, 则保持则保持连接状态至下一轮协商若协商失败, 则在 1 小时内将状态设置为未连接, 需要 VPN 两端重新进行通信才能恢复为连接状态可以使用网络监控工具 ( 例如 IP SLA) 生成保持连接的 Ping 信号来避免这种情况发生 IKE v2 版本 : 如果 VPN 连接经历了一段无流量的空闲时间,VPN 保持连接状态 5.10 VPN 配置下发后, 多久能够生效? VPN 配置生效的时间与 VPN 配置中的本端子网数和对端子网数的乘积呈线性增长关系 5.11 如何配置 VPN 对端设备?(HUAWEI USG6600 配置示例 ) 因为隧道的对称性, 在云上的 VPN 参数和您的 VPN 中需要进行相同的配置, 否则会导致 VPN 无法建立连接在您自己数据中心的路由器或者防火墙上需要进行 IPSec VPN 隧道配置, 具体配置方法取决于您使用的网络设备, 请查询对应设备厂商的指导书本文以 Huawei USG6600 系列 V100R001C30SPC300 版本的防火墙的配置过程为例进行说明, 供参考假设数据中心的子网为 /24 和 /24,VPC 下的子网为 /24 和 /24,VPC 上 IPSec 隧道的出口公网 IP 为 XXX.XXX.XX.XX( 从 VPC 上 IPSec VPN 的本端网关参数上获取 ) 操作步骤 1. 登录防火墙设备的命令行配置界面 2. 查看防火墙版本信息 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) Copyright (C) Huawei Technologies Co., Ltd.. 3. 创建 ACL 并绑定到对应的 vpn-instance 25

30 5 常见问题 acl number 3065 vpn-instance vpn64 rule 1 permit ip source destination rule 2 permit ip source destination rule 3 permit ip source destination rule 4 permit ip source destination q 4. 创建 ike proposal ike proposal 64 dh group5 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q 5. 创建 ike peer, 并引用之前创建的 ike proposal, 其中对端 IP 地址是 ike peer vpnikepeer_64 pre-shared-key ******** (******** 为您输入的预共享密码 ) ike-proposal 64 undo version 2 remote-address vpn-instance vpn sa binding vpn-instance vpn64 q 6. 创建 IPSec 协议 ipsec proposal ipsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q 7. 创建 IPSec 策略, 并引用 ike policy 和 ipsec proposal ipsec policy vpnipsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal ipsecpro64 local-address xx.xx.xx.xx q 8. 将 IPSec 策略应用到相应的子接口上去 interface GigabitEthernet0/0/2.64 ipsec policy vpnipsec64 q 9. 测试连通性在上述配置完成后, 我们可以利用您在云中的主机和您数据中心的主机进行连通性测试, 如下图所示 : 26

31 5 常见问题 5.12 对端 VPN 设备支持列表? 满足 IPSEC VPN 标准和协议的设备, 大部分都可以对接 VPN 例如 :Cisco ASA 防火墙华为 USG6 系列防火墙 USG9 系列防火墙山石网科防火墙 Cisco ISR 路由器等对于华为 USG6 系列防火墙 USG9 系列防火墙具体设备列表如表 5-4 所示表 5-4 华为 VPN 设备列表对端支持列表 HUAWEI USG6 系列 HUAWEI USG9 系列说明 USG6320/6310/6510-SJJ USG6306/6308/6330/6350/6360/6370/6380/6390/6507/6530/65 50/6570:2048 USG6620/6630/6650/6660/6670/6680 USG9520/USG9560/USG9580 其他满足 5.3 VPN 参考标准和协议有哪些? 的设备, 也在支持列表中, 但是可能会因为设备对协议的实现方式不一致, 导致接入失败如果发现不能建立连接, 请参考 5.4 如何解决 VPN 无法建立连接问题?, 进行基本检查或联系技术支持人员 27

32 A 修订记录 A 修订记录发布日期修改说明第一次正式发布 28