ipsec vpn网关 -奇异果体育app竞彩官网下载

ipsec vpn网关是一种通过公网加密通道连接您的idc和私有网络的方式。

操作流程

ipsec vpn网关实例可以在控制台实现全自助配置，您需要完成以下几步才能实现使vpn连接生效：

创建ipsec vpn网关

1. 在私有网络vpc控制台左侧导航栏选择vpn网关，选择ipsec vpn网关页，点击“ 创建ipsec vpn网关”

   说明：

   • 如果您需要在非默认vpc中创建ipsec vpn网关，首先需要在该vpc中创建一个子网，详情请参考。
   • 每个vpc最多支持创建3个ipsec vpn 网关 ，如果您需要创建更多ipsec vpn网关，可以提交申请。

2. 导航栏选择"vpn 网关"，点击"创建ipsec vpn网关"按键。

3. 填写下列配置信息：

   配置项	说明
   当前地域	支持华北-北京、保定，华南-广州，华东-上海、苏州，华中-武汉，香港及新加坡，通过左上角区域进行切换。
   所在网络	vpn 所属的私有网络(vpc)
   vpn 网关名称	用户自定义 vpn 网关名称。
   vpn 网关规格	用户选择vpn网关支持的最大转发能力，普通型vpn网关，最大转发能力200mbps；增强型vpn网关，最大转发能力1000mbps。
   vpn 描述	该 vpn 网关的描述信息。
   vpn 公网带宽	用户绑定的公网eip 。

4. 选择购买时长，点击"下一步"。
5. 确认订单详细，进行支付后，ipsec vpn网关创建完成。

创建vpn隧道

1. 在 ipsec vpn网关列表页，选择ipsec vpn网关，点击“隧道数量”下面的箭头出现vpn隧道列表。

   说明： 每个ipsec vpn网关最多支持10条ipsec vpn隧道，如果您需要创建更多ipsec vpn隧道，可以提交申请。

2. 点击 "创建vpn隧道"，输入下列配置信息：

   基本配置

   配置项	说明
   所在私有网络	vpn 所属的私有网络(vpc)。
   vpn隧道名称	用户自定义vpn隧道名称。
   共享密钥	共享密钥是用于验证 ipsec 连接的 unicode 字符串，本端和对端必须使用相同的预共享密钥。
   本端vpn网关公网ip	本端vpn 网关用于公网加密通信的公网ip/带宽。 如vpn网关选择增强型，则本端使用的公网ip/带宽购买需参考弹性公网ip eip的购买带宽限制细则，。
   本端网络	百度智能云vpc中需要进入vpn隧道的子网。
   对端vpn网关公网ip	对端网关是指 idc 机房的 ipsec vpn 服务网关，对端网关需与百度智能云 vpn 网关配合使用。
   对端网络	对端需要通过vpn隧道连通的网段。
   描述	该 vpn 隧道的描述信息。

   高级配置：ike配置

   配置项	说明
   版本	选择ike协议的版本。目前支持ike v1和ike v2。
   协商模式	选择ike v1版本的协商模式。 - 主模式（main）：协商过程安全性高。 - 野蛮模式（aggressive）：协商快速且协商成功率高。 协商成功后两种模式的信息传输安全性相同。
   加密算法	选择第一阶段协商使用的加密算法。支持aes、aes192、aes256和3des。
   认证算法	第一阶段协商使用的认证算法。支持sha1、md5、sha2_256、sha2_384和sha2_512。
   本端标识	支持 ip address 和 fqdn（全称域名），“本端标识”与隧道对端配置的“远端标识”需一致。
   远端标识	支持 ip address 和 fqdn（全称域名），“远端标识”与隧道对端配置的“本端标识”需一致。
   dh分组	选择第一阶段协商的diffie-hellman密钥交换算法。
   sa生存周期（秒）	设置第一阶段协商出的sa的生存周期。默认值为28800秒。

   高级配置：ipsec配置

   配置项	说明
   加密算法	选择第二阶段协商的加密算法。支持aes、aes192、aes256和3des。
   认证算法	选择第二阶段协商的认证算法。支持sha1、md5、sha2_256、sha2_384和sha2_512。
   dh分组	选择第二阶段协商的diffie-hellman密钥交换算法。
   sa生存周期（秒）	设置第二阶段协商出的sa的生存周期。默认值为28800秒。

创建用户端vpn网关及参数

用户端网关（对端网关）是指用户机房的ipsec vpn服务网关，对端网关需与百度智能云ipsec vpn网关配合使用，配置时参见vpn隧道高级配置。

说明： 本地idc的vpn网关设备应开启nat穿越。

至此，vpn 成功接入。

为vpn配置路由表

vpn连接成功后，您需要在vpn隧道两端分别配置路由表，实现云环境和用户侧网络的流量互通。在百度智能云中配置路由表的步骤如下：

1. 导航栏选择“路由表”，在路由表列表中，点击“添加路由”。

2. 输入与访问用户侧网络所关联的路由表。

   • 源网段
   • 输入目标网段
   • 路由类型，选择“vpn网关”
   • 下一跳实例，选择已创建的vpn网关
3. 点击“确定”，完成路由表配置，关联此路由表子网内的bcc访问用户侧网络时流量将指向该vpn网关。

vpn网关网络地址转换（nat）配置

网络地址转换(nat)是混合云场景ip地址冲突问题的一种奇异果体育app竞彩官网下载的解决方案。vpn网关支持云端静态nat、idc端静态nat、idc端dnat和云端dnat四种转换规则，可解决vpn网关的ip地址冲突问题，隐藏ip地址实现安全要求。

以下示意图中的本端指的是云上私有网络，对端指的是用户idc端。

说明：

• 仅可用状态下的vpn网关才可添加nat规则。
• 目前vpn网关支持nat功能处于公测阶段，若需使用请提申请。
• 仅ipsec vpn网关支持nat功能，ssl vpn网关不支持nat。

云端静态nat

• 云端（本端）ip 转换：指私有网络内原ip映射为新ip，并以新ip身份与vpn对端互访。
• 云端（本端）ip 转换不限制网络请求的方向，可以是私有网络主动访问vpn对端，也可以是vpn对端主动访问私有网络。

idc端静态nat

• idc端（对端）静态nat指用户idc 内原ip映射为新ip，并以新 ip 身份与私有网络内ip互访。
• idc端（对端）静态nat的转换不限制网络请求的方向，可以是私有网络主动访问vpn对端，也支持vpn对端主动访问私有网络。

idc端dnat

idc端dnat即本端目的 ip 端口转换是idc侧主动访问私有网络的一种方法，将私有网络内指定 ip 的指定端口映射为新的 ip 和端口，idc侧则只可以通过访问映射后 ip 端口来与私有网络内指定 ip 端口通信，其他 ip 端口则不对idc端暴露。

云端dnat

云端dnat将idc内（对端）指定 ip端口映射为新ip端口，vpc侧只可以通过访问映射后 ip 端口来与idc内指定 ip 端口通信。

查看监控数据

vpn网关监控

1. 登录管理控制台，选择"产品服务 >私有网络vpc"，在左侧导航栏选择vpn网关，进入vpn网关实例列表。
2. 选择实例后面的"监控"，页面右侧出现监控浮窗。
3. 点击"查看更多"，进入实例详情页面的监控。
4. 在监控页面点击“报警详情”进入报警策略配置页面，可以管理vpn网关的报警策略，详细操作步骤请见bcm管理报警。

vpn隧道监控

1. 登录管理控制台，选择"产品服务 >私有网络vpc"，在左侧导航栏选择vpn网关，进入vpn网关实例列表。
2. 在已创建的vpn网关实例列表中，点击“隧道数量”下面的箭头出现vpn隧道列表。
3. 选择vpn隧道后面的"监控"，出现查看监控数据弹窗。
4. 在列表操作中点击“报警详情”进入报警策略配置页面，可以管理vpn隧道的报警策略，详细操作步骤请见bcm管理报警。