tencent cloud

文档反馈

创建 VPN 通道

最后更新时间:2024-01-09 14:43:23
    VPN 通道是 VPN 连接中用来传输数据包的公网加密通道,腾讯云上的 VPN 通道在实现 IPsec 时,使用 IKE(Internet Key Exchange,因特网密钥交换)协议来建立会话。IKE 具有一套自我保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立 IPSec 会话。本文介绍如何通过“控制台”创建 VPN 通道。您还可以通过 API、SDK 管理您的 VPN 通道,详情参见 API 文档
    VPN 通道的建立包括以下配置信息:

    背景信息

    目的路由 本通信通过路由策略指定 VPN 网关所属网络可以和 IDC 中哪些网段通信,创建通道完成后需在 VPN 网关的路由表中配置对应路由策略,详情请参见 配置 VPN 网关路由
    SPD 策略。
    说明:
    SPD(Security Policy Database)策略由一系列 SPD 规则组成,用于指定 VPC 或云联网内哪些网段可以和 IDC 内哪些网段通信。每条 SPD 规则包括一个本端网段 CIDR,和至少一个对端网段 CIDR。一个本端网段 CIDR 和一个对端网段 CIDR 构成一组匹配关系。一个 SPD 规则下可以有多组匹配关系
    腾讯云 VPN 网关会按照匹配关系依次和对端网关设备进行协商,您需要确保您的对端网关设备支持按照匹配关系进行协商,例如在 StrongSwan 配置中使用 also 关键字。
    同一 VPN 网关下所有 SPD 规则形成匹配关系的数量最多为200个,否则建议您使用路由型 VPN 连接
    同一 VPN 网关下所有通道内的规则,匹配关系不能重叠,即一组的匹配关系中,本端网段和对端网段不能同时重叠。
    在腾讯云配置的 SPD 策略建议与对端网关设备配置的 SPD 策略对称,即在腾讯云配置 SPD 策略中本端网段为10.11.12.0/24,对端网段为192.168.1.0/24;对端网关设备配置 SPD 策略中本端网段为192.168.1.0/24,对端网段为10.11.12.0/24
    配置 SPD 策略后,VPN 网关会自动下发路由,无需在 VPN 网关添加路由。
    示例: 如下图所示,某 VPN 网关下已经存在以下 SPD 规则:
    
    
    SPD 规则1本端网段10.0.0.0/24,对端网段为192.168.0.0/24192.168.1.0/24,有两组匹配关系。
    SPD 规则2本端网段10.0.1.0/24,对端网段为192.168.2.0/24,有一组匹配关系。
    SPD 规则3本端网段10.0.2.0/24,对端网段为192.168.2.0/24,有一组匹配关系。 他们的匹配关系分别是:
    10.0.0.0/24-----192.168.0.0/24
    10.0.0.0/24-----192.168.1.0/24
    10.0.1.0/24-----192.168.2.0/24
    10.0.2.0/24-----192.168.2.0/24 这四组匹配关系相互不能重叠,即他们的本端网段和对端网段不能同时重叠。
    如果新增一个10.0.0.0/24-----192.168.1.0/24匹配关系,则会因为和已有匹配关系重叠,而无法添加 SPD 规则。
    如果新增一个10.0.1.0/24-----192.168.1.0/24匹配关系,和已有的3个匹配关系均不重叠,则可以加入 SPD 规则。

    前提条件

    请确保您已创建的 VPN 通道没有超出配额,调整配额请参考 使用限制

    操作步骤

    2. 单击左侧导航栏中 VPN 连接 > VPN 通道,进入管理页。
    3. VPN 通道管理页面,单击新建
    4. 在弹出的新建对话框中,配置 VPN 通道基本信息。
    4.1 基本信息配置
    本步骤主要配置通道名称、所属网络、关联 VPN 网关、对完网关、共享密钥、协商类型、通信模式等基本配置。
    参数名称
    说明
    通道名称
    自定义通道名称,字符长度为60个。
    地域
    您要创建的 VPN 通道关联的 VPN 网关所在的地域。
    VPN 网关类型
    VPN 网关类型有私有网络型 VPN 和云联网型 VPN。关于两种 VPN 网关类型的详细说明请参考 IPsec VPN
    私有网络
    仅当 VPN 网关类型私有网络时,需要在此处选择 VPN 网关所属的私有网络。云联网类型无此参数。
    VPN 网关
    在列表中选择 VPN 网关。
    对端网关
    选择已创建的对端信息,如果没有,可选择新建。
    对端网关 IP
    对端网关的公网 IP 地址。
    预共享密钥
    用于本端和对端网关之间的身份认证,本端和对端须使用相同的预共享密钥。
    协商类型
    流量协商:创建通道完成之后,当本端有流量进入时,开始与对端协商。
    主动协商:通道创建后主动向对端发起协商。
    被动协商:等待对端发起协商。
    通信模式
    支持目的路由和 SPD 策略两种类型,推荐使用目的路由。 在使用 SPD 策略模式前,您可先了解 SPD 策略原则
    4.2 高级配置 本步骤主要配置 DPD 检测、健康检查、IKE 和 IPSec 等。
    参数名称
    说明
    开启 DPD 检测
    DPD 检测开启/关闭开关,用于检测对端是否存活,默认开启。 本端主动向对端发送 DPD 请求报文,若在指定超时时间内未收到对端的回应报文,则认为对端离线,进行超时后对应操作。
    DPD 超时时间
    DPD 探测总体超时时间。默认30秒,取值范围30秒~60秒。
    DPD 超时操作
    断开:清除当前 SA,且当前 VPN 通道断开。
    重试:重新与对端建立连接。
    4.3 健康检查配置
    参数名称
    说明
    开启健康检查
    健康检查用于主备通道的场景,具体请参考 IDC 与单个腾讯云 VPC 实现主备容灾。如果您不涉及,无需开启此开关(默认不开启),否则请开启本开关,并完成下面的健康检查本端及对端地址的配置,详情请参见配置健康检查
    说明:
    一旦您开启健康检查并创建通道完成,系统立即开始通过 NQA 检测 VPN 通道健康状况,如果 VPN 通道未联通或您配置的对端地址不响应 NQA 探测,则系统会在多次探测失败后判定为不健康,并临时中断业务流量,直到 VPN 通道恢复健康。
    
    健康检查本端地址
    仅当开启健康检查功能时,需要设置此参数。您可以使用系统为您分配的 IP 地址或者指定。
    说明:
    指定地址不能与 VPC 或 CCN 以及 IDC 通信私网地址或网段冲突,也不能与健康检查对端地址冲突。不能使用多播、广播及本地环回地址。
    
    健康检查对端地址
    仅当开启健康检查功能时,需要设置此参数。您可以使用系统为您分配的 IP 地址或者指定。
    说明:
    指定地址不能与 VPC 或 CCN 以及 IDC 通信私网地址或网段冲突,也不能与健康检查本端地址冲突。不能使用多播、广播及本地环回地址。
    
    4.4 IKE 配置
    配置项
    说明
    版本
    IKE V1、IKE V2。
    身份认证方法
    加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4,推荐使用 AES-128。
    认证算法
    身份认证算法,支持 MD5、SHA1、SHA256、AES-383、SHA512、SM3,推荐使用 MD5。
    协商模式
    支持 main(主模式)和 aggressive(野蛮模式)二者的不同之处在于,aggressive 模式可以用更少的包发送更多信息,可以快速建立连接,但是是以清晰的方式发送安全网关的身份。使用 aggressive 模式时,配置参数如 Diffie-Hellman 和 PFS 不能进行协商,要求两端拥有兼容的配置。
    本端标识
    支持 IP Address 和 FQDN(全称域名),默认 IP Address。
    对端标识
    支持 IP Address 和 FQDN ,默认 IP Address。
    DH group
    指定 IKE 交换密钥时使用的 DH 组,密钥交换的安全性随着 DH 组的扩大而增加,但交换的时间也增加了。
    DH1:采用 768-bit 模指数(Modular Exponential,MODP )算法的 DH 组。
    DH2:采用 1024-bit MODP 算法的 DH 组。
    DH5:采用 1536-bit MODP 算法的 DH 组。
    DH14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项。
    DH24:带 256 位的素数阶子群的 2048-bit MODP 算法 DH 组。
    IKE SA Lifetime
    单位:s 设置 IKE 安全提议的 SA 生存周期,在设定的生存周期超时前,会提前协商另一个 SA 来替换旧的 SA。在新的 SA 还没有协商完之前,依然使用旧的 SA;在新的 SA 建立后,将立即使用新的 SA,而旧的 SA 在生存周期超时后,将被自动清除。
    4.5 IPSec 配置(选配)
    配置项
    说明
    加密算法
    加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4。
    认证算法
    身份认证算法,支持 MD5、SHA1、SHA256、SHA384、SHA512、SM3。
    报文封装模式
    Tunnel。
    安全协议
    ESP。
    PFS
    支持 disable、DH-GROUP1、DH-GROUP2、DH-GROUP5、DH-GROUP14 和 DH-GROUP24。
    IPsec SA lifetime(s)
    单位:s。
    IPsec SA lifetime(KB)
    单位:KB。
    5. 单击下一步,进入通信模式配置界面。
    说明:
    如果需要输入多个对端网段,请使用换行隔开。
    6. 单击下一步,进入 IKE 配置(选填)界面,如不需要高级配置,可直接单击下一步
    配置项
    说明
    版本
    IKE V1、IKE V2。
    身份认证方法
    默认预共享密钥。
    加密算法
    加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4,推荐使用 AES-128。
    认证算法
    身份认证算法,支持 MD5、SHA1、SHA256、AES-383、SHA512、SM3,推荐使用 MD5。
    协商模式
    支持 main(主模式)和 aggressive(野蛮模式) 二者的不同之处在于,aggressive 模式可以用更少的包发送更多信息,可以快速建立连接,但是是以清晰的方式发送安全网关的身份。使用 aggressive 模式时,配置参数如 Diffie-Hellman 和 PFS 不能进行协商,要求两端拥有兼容的配置。
    本端标识
    支持 IP Address 和 FQDN(全称域名),默认 IP Address。
    对端标识
    支持 IP Address 和 FQDN ,默认 IP Address。
    DH group
    指定 IKE 交换密钥时使用的 DH 组,密钥交换的安全性随着 DH 组的扩大而增加,但交换的时间也增加了。
    DH1:采用 768-bit 模指数(Modular Exponential,MODP )算法的 DH 组。
    DH2:采用 1024-bit MODP 算法的 DH 组。
    DH5:采用 1536-bit MODP 算法的 DH 组。
    DH14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项。
    DH24:带 256 位的素数阶子群的 2048-bit MODP 算法 DH 组。
    IKE SA Lifetime
    单位:s 设置 IKE 安全提议的 SA 生存周期,在设定的生存周期超时前,会提前协商另一个 SA 来替换旧的 SA。在新的 SA 还没有协商完之前,依然使用旧的 SA;在新的 SA 建立后,将立即使用新的 SA,而旧的 SA 在生存周期超时后,被自动清除。
    7. 进入 IPsec配置(选填)界面,如果不需要高级配置,可直接单击完成
    配置项
    说明
    加密算法
    加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4
    认证算法
    身份认证算法,支持 MD5、SHA1、SHA256、SHA384、SHA512、SM3
    报文封装模式
    Tunnel
    安全协议
    ESP
    PFS
    支持 disable、DH-GROUP1、DH-GROUP2、DH-GROUP5、DH-GROUP14 和 DH-GROUP24
    IPsec SA lifetime(s)
    单位:s
    IPsec SA lifetime(KB)
    单位:KB
    
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持