天翼云3.0VPN
用户使用指南
中国电信股份有限公司云计算分公司
修订记录
内容
⚫增加vpn连接,vpn网关部分⚫增加入门部分,最佳实践部分⚫丰富常见问题
时间
2019/6/24
目录
目录
1简介...................................................................1
1.1概念.....................................................................................11.1.1虚拟专用网络...........................................................................11.1.2IPSecVPN..............................................................................11.2应用场景.................................................................................21.3使用约束.................................................................................21.4VPN参考标准和协议........................................................................3
2入门...................................................................4
2.1申请VPN..................................................................................42.2配置安全组策略...........................................................................92.2.1创建安全组基本信息.....................................................................92.2.2为安全组添加安全组规则................................................................102.2.3删除安全组规则........................................................................12
3管理..................................................................13
3.1配置VPN对端设备........................................................................133.1.1HUAWEIUSG6600配置示例................................................................133.1.2CISCOCISCO-2900配置示例..............................................................153.2查看VPN连接............................................................................163.3查看VPN网关............................................................................173.4修改VPN网关............................................................................173.5修改VPN连接............................................................................173.6删除VPN网关............................................................................183.7删除VPN连接............................................................................18
4VPN最佳实践...........................................................19
4.1通过VPN连接VPC.........................................................................19
5常见问题..............................................................21
5.1一个用户下支持多少个IPSecVPN?.........................................................215.2IPSecVPN是否会自动进行协商?...........................................................215.3VPN参考标准和协议有哪些?...............................................................21
i
目录5.4如何解决VPN无法建立连接问题?...........................................................225.5VPN连接建立后您的数据中心或局域网无法访问弹性云主机?...................................235.6VPN连接建立后,弹性云主机无法访问您的数据中心或局域网?.................................245.7VPN支持将两个VPC互连吗?...............................................................245.8VPN本端子网和远端子网数量有什么限制?...................................................245.9为什么VPN创建成功后状态显示未连接?.....................................................245.10VPN配置下发后,多久能够生效?..........................................................245.11如何配置VPN对端设备?(HUAWEIUSG6600配置示例).......................................245.12对端VPN设备支持列表?
..................................................................26 ii 1简介 1简介 1.1概念 1.1.1虚拟专用网络 虚拟专用网络即VPN(VirtualPrivateNetwork),用于在远端用户和VPC之间建立一条安全加密的通信隧道。
当您作为远端用户需要访问VPC的业务资源时,您可以通过VPN连通VPC。
另外,默认情况下,在VirtualPrivateCloud(VPC)中的弹性云主机无法与您自己的数据中心或私有网络进行通信。
如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通,可以启用VPN功能。
1.1.2IPSecVPN IPSecVPN是一种加密的隧道技术,通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。
如下图所示,假设您在云中已经申请了VPC,并申请了2个子(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。
您可以通过VPN使VPC内的子网与数据中心的子网互相通信。
目前我们支持点到点VPN(Site-to-SiteVPN)和点到多点VPN(Hub-SpokeVPN),需要您在自己的数据中心内也搭建VPN。
VPC内的VPN和您搭建的VPN,需要保证IKE策略以及IPsec策略配置一致。
在配置前,请参考下表了解相关术语,并确认您的设备满足以下协议,以及相关配置的约束。
参数RFC2409 RFC4301 说明 定义了密钥交换(IKE)协议,它是用于协商和验证密钥信息来保护连接的。
定义了IPSec的架构,IPSec能够提供的安全服务,以及各个组件之间如何配置工作的。
限制 ⚫使用预共享密钥进行IKE协议的建立。
⚫使用主模式进行协商。
请使用IPSec隧道模式建立VPN连接。
1 1简介 1.2应用场景 通过VPN在传统数据中心与VPC之间建立通信隧道,您可方便地使用云平台的云服务器、块存储等资源;应用程序转移到云中、启动额外的Web服务器、增加网络的计算容量,从而实现企业的混合云架构,既降低了企业IT运维成本,又不用担心企业核心数据的扩散。
VPN支持不同VPC下多个本端网关与同一个远端网关建立IPSecVPN隧道。
如上图所示,VPC1的1:192.168.1.0/24通过本端网关1.1.1.1和远端网关3.1.1.1建立的IPSecVPN隧道和远端子网192.168.3.0/24通信,VPC2的2:192.168.2.0/24通过本端网关2.1.1.1和远端网关3.1.1.1建立的IPSecVPN隧道和远端子网192.168.3.0/24通信。
此应用场景1和2的地址空间不能重叠。
1.3使用约束 关于VPN的使用,您需要注意以下几点:⚫每个账号默认申请2个VPN网关。
2 1简介 ⚫每个账号默认5个VPN连接,可申请工单调整配额。
如需更多连接数需咨询管理员方案。
1.4VPN参考标准和协议 与IPSec特性相关的参考标准与协议如下:⚫RFC4301:SecurityArchitecturefortheProtocol⚫RFC2403:TheUseofHMAC-MD5-96withinESPandAH⚫RFC2409:TheKeyExchange(IKE)⚫RFC2857:TheUseofHMAC-RIPEMD-160-96withinESPandAH⚫RFC3566:TheAES-XCBC-MAC-96AlgorithmanditsusewithIPsec⚫RFC3625:MoreModularExponential(MODP)Diffie-HellmangroupsforKeyExchange(IKE)⚫RFC3664:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchangeProtocol(IKE)⚫RFC3706:ATraffic-BasedMethodofDetectingDeadKeyExchange(IKE)Peers⚫RFC3748:ExtensibleAuthenticationProtocol(EAP)⚫RFC3947:NegotiationofNAT-TraversalintheIKE⚫RFC4109:AlgorithmsforKeyExchangeversion1(IKEv1)⚫RFC3948:UDPEncapsulationofIPsecESPPackets⚫RFC4305:CryptographicAlgorithmImplementationRequirementsforEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH)⚫RFC4306:KeyExchange(IKEv2)Protocol⚫RFC4307:CryptographicAlgorithmsforUseintheKeyExchangeVersion2(IKEv2)⚫RFC4322:OpportunisticEncryptionusingtheKeyExchange(IKE)⚫RFC4359:TheUseofRSA/SHA-1SignatureswithinEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH)⚫RFC4434:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchangeProtocol(IKE)⚫RFC4478:RepeatedAuthenticationinKeyExchange(IKEv2)⚫RFC5996:KeyExchangeProtocolVersion2(IKEv2)
3 2入门 2入门 2.1申请VPN 简介 默认情况下,在VirtualPrivateCloud(VPC)中的弹性云主机无法与您自己的数据中心或私有网络进行通信。
如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通,可以启用虚拟专用网络功能。
此操作您需要在VPC中创建VPN并更新安全组规则。
⚫简单的IPsecVPN内网对连拓扑说明如下图所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。
您可以通过VPN使VPC内的子网与数据中心的子网互相通信。
目前我们支持点到点VPN(Site-to-SiteVPN)和点到多点VPN(Hub-SpokeVPN),除了在VPC中搭建VPN,您还需在自己的数据中心内也搭建VPN。
VPC内的VPN和您搭建的VPN,需要保证IKE策略以及IPsec策略配置一致。
在配置前,请参考下表了解相关术语,并确认您的设备满足以下协议,以及相关配置的约束。
4 2入门 参数RFC2409 RFC4301 说明 定义了密钥交换(IKE)协议,它是用于协商和验证密钥信息来保护连接的。
定义了IPSec的架构,IPSec能够提供的安全服务,以及各个组件之间如何配置工作的。
限制 ⚫使用预共享密钥进行IKE协议的建立。
⚫使用主模式和野蛮模式进行协商。
请使用IPSec隧道模式建立VPN连接。
⚫操作场景 通过执行该任务,您可以创建VPN,以便在您的数据中心与云服务之间建立一条保密而安全的通信隧道。
VPN网关是VPC中建立IPsecVPN的出口网关,用于VPC和外部数据中心之间建立安全可靠的加密网络通信。
VPN连接是建立VPN网关和外部数据中心VPN网关之间的加密通道。
当前VPN连接仅支持IPsecVPN加密协议。
需要先申请VPN网关,再申请VPN连接,一个VPN网关可以对应多个VPN连接。
⚫申请VPN网关
1.登录管理控制台。
2.在管理控制台左上角单击图标,选择区域和项目。
3.在系统首页,单击“网络>虚拟专用网络”。
4.在左侧导航栏选择“虚拟专用网络>VPN网关”。
5.在“VPN网关”界面,单击“创建VPN网关”。
6.根据界面提示配置参数,并单击“立即购买”“CreateNow”。
分类 参数 说明 取值样例 计费模式类型 VPN网关支持按需计费。
按需计费
5 分类 参数 基本信息当前区域 VPC名称类型带宽 可靠性计费方式 描述 说明网关费用分为网关配置费用以及带宽使用费用。
区域指虚拟私有云所在的物理位置。
同一区域内可用分区间内网互通,不同区域间内网不互通。
可以在管理控制台左上角切换区域。
VPN接入的VPC名称。
VPN网关名称。
VPN类型。
默认为选择“IPsec”。
本地VPN网关的带宽大小,单位Mbit/s。
在VPN使用过程中,当网络流量超过VPN带宽时有可能造成网络拥塞导致VPN连接中断,请用户提前做好带宽规划。
可以在CES监控中配置告警规则对带宽进行监控。
可靠性表示vpn网关设备单活/双活 分为“按带宽计费”和“按流量计费” 描述vpn 取值样例哈尔滨 vpc-001vpngw-001IPsec100 单活按流量计费- 2入门
7.确认信息正确后,单击“提交”。
说明 VPN网关创建完成后,VPN网关的状态为“创建中”。
当有VPN连接使用该VPN网关时,VPN网关的状态更新为“正常”。
⚫申请VPN连接
1.登录管理控制台。
2.在管理控制台左上角单击图标,选择区域和项目。
3.在系统首页,单击“网络>虚拟专用网络”。
4.在左侧导航栏选择“虚拟专用网络>VPN连接”。
5.在“VPN连接”页面,单击“创建VPN连接”。
6 6.根据界面提示配置参数,并单击“立即购买”。
2入门 分参数 说明 类 取值样例 付计费模式VPN连接支持按需计费费 按需计费 基当前区域区域指虚拟私有云所在的物理位 哈尔滨 本 置。
同一区域内可用分区间内网互 信 通,不同区域间内网不互通。
可以 息 在管理控制台左上角切换区域。
VPN网关VPN连接挂载的VPN网关名称 vpcgw-001 名称 VPN连接名称 vpn-001 预共享密钥 预共享密钥(PreSharedKey),取值范围为6~128位。
此项配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。
Test@123 确认密钥再次输入预共享密钥。
Test@123 本端子网 ⚫⚫ VPC内需要与您的数据中心或者私有网络互通的子网。
支持以下方式设置本端子网 选择子网 手动输入网段 192.168.1.0/24,192.168.2.0/24 远端网关 您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN
7 分参数类 说明 取值样例 互通。
在双活网关下支持输入2个远端网关IP地址。
远端子网 您的数据中心或私有网络中需要与VPC通信的子网地址。
远端子网网段不能被本端子网网段覆盖,也不能与本端VPC已有的对等连接网段重合。
192.168.3.0/24,192.168.4.0/24 高级配置⚫ ⚫ 默认配置 自定义配置:自定义配置IKE策略和IPsec策略。
相关配置说明请参考和。
自定义配置 2入门 ⚫IKE策略参数认证算法加密算法 DH算法版本生命周期(秒) 协商模式 说明 认证哈希算法,支持的算法:sha1、sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推荐)。
Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
IKE密钥交换协议版本,支持的版本:v1、v2。
安全联盟(SA—SecuityAssociations)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
选择IKE策略版本未“v1”时,可以配置协商模式,取值支持main、aggressive。
默认配置为:main 取值样例sha1aes-128 group5v186400 main ⚫IPsecPolicy策略参数 说明 取值样例
8 参数认证算法加密算法 PFS传输协议 生命周期(秒) 说明 取值样例 认证哈希算法,支持的算法:sha1、 sha1 sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推
荐) aes-128 Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
group5 IPSec传输和封装用户数据时使用的安全esp协议,目前支持的协议:ah、esp、ahesp。
安全联盟(SA—SecuityAssociations)3600的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
2入门 说明IKE策略指定了IPSec隧道在协商阶段的加密和认证算法,IPSec策略指定了IPSec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在VPC上的VPN连接和您数据中心的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
7.单击“提交”。
创建成功后云为该IPSecVPN分配一个公网出口IP地址。
该地址为VPN页面中,已创建的VPN的本端网关地址。
在您自己数据中心配置对端隧道时,远端网关需要配置为该IP地址。
8.因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPSecVPN隧道配置。
VPN配置样例请参考5.11如何配置VPN对端设备?(HUAWEIUSG6600配置示例)VPN连接支持的协议参考5.3VPN参考标准和协议有哪些?VPN设备支持列表请参考5.12对端VPN设备支持列表?
2.2配置安全组策略 2.2.1创建安全组基本信息 简介 安全组是一组对弹性云主机的访问规则的集合,为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。
9 2入门 您可以创建安全组并定义安全组中的规则,将VPC中的弹性云主机划分成不同的安全域,以提升弹性云主机访问的安全性。
创建安全组成功后,没有自定义规则的安全组即具备默认的安全组规则。
VPC内的安全组默认不允许任何源访问,因此如果需要使用VPN让云上云下设备互通,则需要在配置改VPC的安全组规则,允许对端VPN设备访问该VPC。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟私有云”。
3.在左侧导航树选择“安全组”。
4.在“安全组”界面,单击“创建安全组”。
参数名称 描述
5.在“创建安全组”下拉区域,根据界面提示配置参,参数说明参考下表。
参数说明 取值样例 安全组的名称,必填项。
安全组的名称只能由中文、英文字母、数字、“_”、“-”和“.”组成,且不能有空格,长度不能大于64个字符。
说明安全组名称创建后可以修改,建议不要重名。
sg-34d6 安全组的描述信息,非必填项。
- 描述信息内容不能超过255个字符,且不能包含“<”和“>”。
6.单击“确定”。
2.2.2为安全组添加安全组规则 ⚫操作场景 安全组的默认规则是在出方向上的数据报文全部放行,安全组内的弹性云主机无需添加规则即可互相访问。
安全组创建后,您可以在安全组中定义各种访问规则,当弹性云主机加入该安全组后,即受到这些访问规则的保护。
当需要从安全组外访问安全组内的弹性云主机时,需要为安全组添加相应的入方向规则,例如: ⚫使用mstsc方式远程访问Windows系统的弹性云主机,需要添加协议为“TCP”、端口为3389的入方向规则。
10 2入门 ⚫使用ssh方式远程访问Linux系统的弹性云主机,需要添加协议为“TCP”、端口为22的入方向规则。
⚫源地址需要设置为包含远程登录弹性云主机的机器所在的IP地址范围。
建议将不同公网访问策略的弹性云主机划分到不同的安全组。
说明源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的弹性云主机。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟私有云”。
3.在左侧导航树选择“安全组”。
4.在安全组界面,单击操作列的“配置规则”,进入安全组详情界面。
5.在“入方向”页签,单击“添加规则”,添加入方向规则。
单击“+”可以依次增加多条入方向规则。
参说明数 取值样例 协网络协议,取值范围为:TCP,UDP,ICMP,ANY。
TCP 议 端规则的端口范围,取值范围为:1~65535。
口范围 22或22-30 源可以是IP地址,也可以是安全组。
地例如:址xxx.xxx.xxx.xxx/32(IPv4地址) xxx.xxx.xxx.0/24(子网)0.0.0.0/0(任意地址) 0.0.0.0/0default
6.在“出方向”页签,单击“添加规则”,添加出方向规则。
11 单击“+”可以依次增加多条出方向规则。
参说明数 协网络协议,取值范围为:TCP,UDP,ICMP,ANY。
议 端规则的端口范围,取值范围为:1~65535。
口范围 目可以是IP地址,也可以是安全组。
的例如:地址xxx.xxx.xxx.xxx/32(IPv4地址) xxx.xxx.xxx.0/24(子网)0.0.0.0/0(任意地址) 2入门 取值样例TCP22或22-30 0.0.0.0/0default 2.2.3删除安全组规则 ⚫操作场景 当安全组规则入方向、出方向源IP地址有变化时,可以通过先删除安全组规则、之后重新添加安全组规则的方式进行安全组规则的更新。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟私有云”。
3.在左侧导航树选择“安全组”。
4.在“安全组”界面,单击安全组名,进入安全组详情界面。
5.当不需要安全组规则时,单击规则所在行的“删除”。
6.单击“确定”。
12 3管理 3管理 3.1配置VPN对端设备 因为隧道的对称性,在云上的VPN参数和您的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
在您自己数据中心的路由器或者防火墙上需要进行IPSecVPN隧道配置,具体配置方法取决于您使用的网络设备,请查询对应设备厂商的指导书。
本文以HuaweiUSG6600系列V100R001C30SPC300版本的防火墙和CISCO2900系列15.0版本的防火墙配置为例进行说明,供参考。
3.1.1HUAWEIUSG6600配置示例 本章节以HuaweiUSG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明,供参考。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,VPC上IPSec隧道的出口公网IP为93.188.242.110(从VPC上IPSecVPN的本端网关参数上获取)。
⚫操作步骤
1.登录防火墙设备的命令行配置界面。
2.查看防火墙版本信息。
displayversion17:20:502017/03/09HuaweiVersatileSecurityPlatformSoftwareSoftwareVersion:USG6600V100R001C30SPC300(VRP(R)Software,Version5.30)Copyright(C)2014-2016HuaweiTechnologiesCo.,Ltd..
3.创建ACL并绑定到对应的vpn-instance。
aclnumber3065vpn-instancevpn64rule1permitipsource192.168.3.00.0.0.255destination192.168.1.00.0.0.255rule2permitipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255rule3permitipsource192.168.4.00.0.0.255destination192.168.1.00.0.0.255rule4permitipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255q
4.创建ikeproposal。
13 3管理 ikeproposal64dhgroup5authentication-algorithmsha1integrity-algorithmhmac-sha2-256saduration3600q
5.创建ikepeer,并引用之前创建的ikeproposal,其中对端IP地址是93.188.242.110。
ikepeervpnikepeer_64pre-shared-key********(********为您输入的预共享密码)ike-proposal64undoversion2remote-addressvpn-instancevpn6493.188.242.110sabindingvpn-instancevpn64q
6.创建IPSec协议。
ipsecproposalipsecpro64encapsulation-modetunnelespauthentication-algorithmsha1q
7.创建IPSec策略,并引用ikepolicy和ipsecproposal。
ipsecpolicyvpnipsec641isakmpsecurityacl3065pfsdh-group5ike-peervpnikepeer_64proposalipsecpro64local-addressxx.xx.xx.xxq
8.将IPSec策略应用到相应的子接口上去。
interface0/0/2.64ipsecpolicyvpnipsec64q
9.测试连通性。
在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示: 14 3管理 3.1.2CISCOCISCO-2900配置示例 本章节以CISCO2900系列15.0版本的防火墙配置过程为例进行说明,供参考。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,VPC上IPSec隧道的出口公网IP为93.188.242.110(从VPC上IPSecVPN的本端网关参数上获取)。
⚫操作步骤
1.登录防火墙设备的命令行配置界面。
2.配置isakmp策略。
cryptoisakmppolicy1authenticationpre-shareencryptionaes256hashshagroup5lifetime3600
3.配置预共享密钥。
cryptoisakmpkey********address93.188.242.110(********为您输入的预共享密钥)
4.配置IPSec安全协议。
cryptoipsectransform-setipsecpro64esp-aes256esp-sha-hmacmodetunnel
5.配置ACL(访问控制列表),定义需要保护的数据流。
ess-list100permitip192.168.3.00.0.0.255192.168.1.00.0.0.255ess-list100permitip192.168.3.00.0.0.255192.168.2.00.0.0.255ess-list100permitip192.168.4.00.0.0.255192.168.1.00.0.0.255ess-list100permitip192.168.4.00.0.0.255192.168.2.00.0.0.255
6.配置IPSec策略。
15 3管理 cryptomapvpnipsec6410ipsec-isakmpsetpeer93.188.242.110settransform-setipsecpro64matchaddress100
7.在接口上应用IPSec策略。
interfaceg0/0cryptomapvpnipsec64
8.测试连通性。
在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示: 3.2查看VPN连接 ⚫操作场景用户申请VPN连接后,可以查看已申请的VPN连接。
⚫操作步骤
1.在系统首页,单击“网络>虚拟专用网络”。
2.在左侧导航栏选择“虚拟专用网络>VPN连接”。
3.在“VPN连接”页面的VPN连接列表中可以查看VPN连接。
16 3.3查看VPN网关 ⚫操作场景用户申请VPN网关后,可以查看已申请的VPN网关。
⚫操作步骤
1.在系统首页,单击“网络>虚拟专用网络”。
2.在左侧导航栏选择“虚拟专用网络>VPN网关”。
3.在“VPN网关”页面的VPN网关列表中可以查看VPN网关。
3管理 3.4修改VPN网关 ⚫操作场景VPN网关是VPC中建立IPsecVPN的出口网关,用于VPC和外部数据中心之间建立安全可靠的加密网络通信。
当已有VPN网关的名称、带宽大小等网络参数有变化时,可以修改VPN网关。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
3.在左侧导航栏选择“虚拟专用网络>VPN网关”。
4.在“VPN网关”界面所需修改的VPN网关所在行,单击“修改”。
5.根据界面提示配置参数。
6.单击“确定”。
3.5修改VPN连接 操作场景 VPN连接是建立VPN网关和外部数据中心VPN网关之间的加密通道。
当VPN连接的网络参数变化时,可以修改VPN连接。
操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
17
3.在左侧导航栏选择“虚拟专用网络>VPN连接”。
4.在“VPN连接”界面所需修改的VPN连接所在行,单击“修改”。
3管理
5.根据界面提示配置参数。
6.单击“确定”。
3.6删除VPN网关 操作场景 当无需使用VPN网关时,可删除VPN网关。
已被VPN连接使用的VPN网关不可删除,请先删除相关的VPN连接,再删除VPN网关。
操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
3.在左侧导航栏选择“虚拟专用网络>VPN网关”。
4.在“VPN网关”界面所需删除的VPN网关所在行,单击“删除”。
5.单击“确定”。
3.7删除VPN连接 操作场景 当无需使用VPN网络、需要释放网络资源时,可删除VPN连接。
操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
3.在左侧导航栏选择“虚拟专用网络>VPN连接”。
4.在“VPN连接”界面所需删除的VPN连接所在行,单击“删除”。
5.单击“确定”。
18 4VPN最佳实践 4VPN最佳实践 4.1通过VPN连接VPC ⚫操作场景默认情况下,在VirtualPrivateCloud(VPC)中的弹性云主机无法与您自己的数据中心或私有网络进行通信。
如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通,可以启用VPN功能。
申请VPN后,用户需要配置安全组并检查本段与对端网络的连通性,以确保VPN功能可用。
主要场景分为两类: ⚫点对点VPN:本端为处于公有云平台上的一个VPC,对端为数据中心,通过VPN建立用户数据中心与VPC之间建立通信隧道。
⚫点对多点VPN:本端为处于公有云平台上的多个VPC,对端为数据中心,通过VPN建立用户数据中心与不同VPC之间建立通信隧道。
配置VPN时需要注意以下几点:⚫本端子网与对端子网不能重叠。
⚫本端子网网段不能重叠。
⚫本端和对端的IKE策略相同。
⚫本端和对端的IPSec策略相同。
⚫本端和对端子网,网关等参数对称。
⚫本端和对端的PSK相同。
⚫VPC内弹性云主机安全组允许访问对端和被对端访问。
⚫VPN对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN的状态才会刷新为正常。
⚫前提条件已创建VPN所需的虚拟私有云和子网。
⚫操作步骤
1.在管理控制台上,选择合适的IKE策略和IPsec策略申请VPN。
2.检查本端和对端子网的IP地址池。
19 4VPN最佳实践如下图所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。
您可以通过VPN使VPC内的子网与数据中心的子网互相通信。
本端和对端子网IP池不能重合。
例如,本端VPC有两个子网,分别为:192.168.1.0/24和192.168.2.0/24,那么对端子网的IP地址池不能包含本端VPC的这两个子网。
3.配置VPC的安全组策略。
4.检查VPC安全组。
安全组必须放通来自VPN的报文。
可以使用ping方法来检查VPC安全组是否放通。
5.检查远端LAN配置(即对端数据中心网络配置)。
在远程LAN(对端数据中心网络)配置中有可以将VPN流量转发到LAN中网络设备的路由。
如果VPN流量无法正常通信,请检查远程LAN是否存在拒绝策略。
20 5常见问题 5常见问题 5.1一个用户下支持多少个IPSecVPN? 一个用户默认只能配置5个IPSecVPN,如果规格不能满足需求,可以申请扩容。
5.2IPSecVPN是否会自动进行协商? IPSecVPN隧道为被动模式,只有在本端有流量经过隧道时才会触发自动协商。
5.3VPN参考标准和协议有哪些? 与IPSec特性相关的参考标准与协议如下:⚫RFC4301:SecurityArchitecturefortheProtocol⚫RFC2403:TheUseofHMAC-MD5-96withinESPandAH⚫RFC2409:TheKeyExchange(IKE)⚫RFC2857:TheUseofHMAC-RIPEMD-160-96withinESPandAH⚫RFC3566:TheAES-XCBC-MAC-96AlgorithmanditsusewithIPsec⚫RFC3625:MoreModularExponential(MODP)Diffie-HellmangroupsforKeyExchange(IKE)⚫RFC3664:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchangeProtocol(IKE)⚫RFC3706:ATraffic-BasedMethodofDetectingDeadKeyExchange(IKE)Peers⚫RFC3748:ExtensibleAuthenticationProtocol(EAP)⚫RFC3947:NegotiationofNAT-TraversalintheIKE⚫RFC4109:AlgorithmsforKeyExchangeversion1(IKEv1)⚫RFC3948:UDPEncapsulationofIPsecESPPackets⚫RFC4305:CryptographicAlgorithmImplementationRequirementsforEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH) 21 5常见问题 ⚫RFC4306:KeyExchange(IKEv2)Protocol⚫RFC4307:CryptographicAlgorithmsforUseintheKeyExchange Version2(IKEv2)⚫RFC4322:OpportunisticEncryptionusingtheKeyExchange(IKE)⚫RFC4359:TheUseofRSA/SHA-1SignatureswithinEncapsulatingSecurity Payload(ESP)andAuthenticationHeader(AH)⚫RFC4434:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchange Protocol(IKE)⚫RFC4478:RepeatedAuthenticationinKeyExchange(IKEv2)⚫RFC5996:KeyExchangeProtocolVersion2(IKEv2) 5.4如何解决VPN无法建立连接问题?
1.检查云上和对端VPN的参数是否一致。
基本参数参数PSK 说明 预共享密钥(PreSharedKey),取值范围为6~128位。
此项配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。
取值样例Test@123 IKE策略 参数认证算法 加密算法 DH算法版本生命周期(秒) 协商模式 说明 认证哈希算法,支持的算法:sha1、sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推荐)。
Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
IKE密钥交换协议版本,支持的版本:v1、v2。
安全联盟(SA—SecuityAssociations)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
选择IKE策略版本为“v1”时,可以配置 取值样例sha1aes-128 group5v186400 main 22 参数 说明 协商模式,取值支持main、aggressive。
默认配置为:main。
5常见问题取值样例 IPsecPolicy策略参数认证算法加密算法 DH算法传输协议 生命周期(秒) 说明 取值样例 认证哈希算法,支持的算法:sha1、 sha1 sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推
荐) aes-128 Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
group5 IPSec传输和封装用户数据时使用的安全esp协议,目前支持的协议:ah、esp、ahesp。
安全联盟(SA—SecuityAssociations)3600的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
2.检查ACL是否配置正确。
假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,则你在数据中心或局域网中的ACL应对你的每一个数据中心子网配置允许VPC下的子网通信的规则,如下例: rule1permitipsource192.168.3.00.0.0.255destination192.168.1.00.0.0.255rule2permitipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255rule3permitipsource192.168.4.00.0.0.255destination192.168.1.00.0.0.255rule4permitipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255 5.5VPN连接建立后您的数据中心或局域网无法访问弹性云主机? 我们提供的安全组默认不允许任何源访问,请确认您的安全组是否配置允许对端的子网地址访问。
23 5常见问题 5.6VPN连接建立后,弹性云主机无法访问您的数据中心或局域网? 需要确认是否已做好VPN公网IP到您的数据中心或局域网公网IP的防火墙策略,云上出口未做策略限制。
5.7VPN支持将两个VPC互连吗? 如果两个VPC位于同一区域内,可以使用VPC对等连接互连。
如果两个VPC位于不同区域,可以通过VPN连接,分别把这两个VPC的CIDR作为本端子网和远端子网。
5.8VPN本端子网和远端子网数量有什么限制? VPN本端子网和远端子网数量乘积最大支持到1000的规模。
5.9为什么VPN创建成功后状态显示未连接? VPN对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN的状态才会刷新为正常。
⚫IKEv1版本:如果VPN连接经历了一段无流量的空闲时间,则需要重新协商。
协商时间取决于IPsecPolicy策略中的“生命周期(秒)”取值。
“生命周期(秒)”取值一般为3600(1小时),会在第54分钟时重新发起协商。
若协商成功,则保持则保持连接状态至下一轮协商。
若协商失败,则在1小时内将状态设置为未连接,需要VPN两端重新进行通信才能恢复为连接状态。
可以使用网络监控工具(例如IPSLA)生成保持连接的Ping信号来避免这种情况发生。
⚫IKEv2版本:如果VPN连接经历了一段无流量的空闲时间,VPN保持连接状态。
5.10VPN配置下发后,多久能够生效? VPN配置生效的时间与VPN配置中的本端子网数和对端子网数的乘积呈线性增长关系。
5.11如何配置VPN对端设备?(HUAWEIUSG6600配置示例) 因为隧道的对称性,在云上的VPN参数和您的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
24 5常见问题 在您自己数据中心的路由器或者防火墙上需要进行IPSecVPN隧道配置,具体配置方法取决于您使用的网络设备,请查询对应设备厂商的指导书。
本文以HuaweiUSG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明,供参考。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,VPC上IPSec隧道的出口公网IP为XXX.XXX.XX.XX(从VPC上IPSecVPN的本端网关参数上获取)。
操作步骤
1.登录防火墙设备的命令行配置界面。
2.查看防火墙版本信息。
displayversion17:20:502017/03/09HuaweiVersatileSecurityPlatformSoftwareSoftwareVersion:USG6600V100R001C30SPC300(VRP(R)Software,Version5.30)Copyright(C)2014-2016HuaweiTechnologiesCo.,Ltd..
3.创建ACL并绑定到对应的vpn-instance。
aclnumber3065vpn-instancevpn64rule1permitipsource192.168.3.00.0.0.255destination192.168.1.00.0.0.255rule2permitipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255rule3permitipsource192.168.4.00.0.0.255destination192.168.1.00.0.0.255rule4permitipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255q
4.创建ikeproposal。
ikeproposal64dhgroup5authentication-algorithmsha1integrity-algorithmhmac-sha2-256saduration3600q
5.创建ikepeer,并引用之前创建的ikeproposal,其中对端IP地址是93.188.242.110。
ikepeervpnikepeer_64pre-shared-key********(********为您输入的预共享密码)ike-proposal64undoversion2remote-addressvpn-instancevpn6493.188.242.110sabindingvpn-instancevpn64q
6.创建IPSec协议。
ipsecproposalipsecpro64encapsulation-modetunnelespauthentication-algorithmsha1q
7.创建IPSec策略,并引用ikepolicy和ipsecproposal。
ipsecpolicyvpnipsec641isakmpsecurityacl3065pfsdh-group5 25 5常见问题 ike-peervpnikepeer_64proposalipsecpro64local-addressxx.xx.xx.xxq
8.将IPSec策略应用到相应的子接口上去。
interface0/0/2.64ipsecpolicyvpnipsec64q
9.测试连通性。
在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示: 5.12对端VPN设备支持列表?
满足IPSECVPN标准和协议的设备,大部分都可以对接VPN。
例如:CiscoASA防火墙、华为USG6系列防火墙、USG9系列防火墙、山石网科防火墙、CiscoISR路由器等。
对于华为USG6系列防火墙、USG9系列防火墙具体设备列表如下表所示。
对端支持列表HUAWEIUSG6系列 HUAWEIUSG9系列 说明 USG6320/6310/6510-SJJUSG6306/6308/6330/6350/6360/6370/6380/6390/6507/6530/6550/6570:2048USG6620/6630/6650/6660/6670/6680 USG9520/USG9560/USG9580 26 5常见问题其他满足5.3VPN参考标准和协议有哪些?的设备,也在支持列表中,但是可能会因为设备对协议的实现方式不一致,导致接入失败。
如果发现不能建立连接,请参考5.4如何解决VPN无法建立连接问题?,进行基本检查或联系技术支持人员。
27
..................................................................26 ii 1简介 1简介 1.1概念 1.1.1虚拟专用网络 虚拟专用网络即VPN(VirtualPrivateNetwork),用于在远端用户和VPC之间建立一条安全加密的通信隧道。
当您作为远端用户需要访问VPC的业务资源时,您可以通过VPN连通VPC。
另外,默认情况下,在VirtualPrivateCloud(VPC)中的弹性云主机无法与您自己的数据中心或私有网络进行通信。
如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通,可以启用VPN功能。
1.1.2IPSecVPN IPSecVPN是一种加密的隧道技术,通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。
如下图所示,假设您在云中已经申请了VPC,并申请了2个子(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。
您可以通过VPN使VPC内的子网与数据中心的子网互相通信。
目前我们支持点到点VPN(Site-to-SiteVPN)和点到多点VPN(Hub-SpokeVPN),需要您在自己的数据中心内也搭建VPN。
VPC内的VPN和您搭建的VPN,需要保证IKE策略以及IPsec策略配置一致。
在配置前,请参考下表了解相关术语,并确认您的设备满足以下协议,以及相关配置的约束。
参数RFC2409 RFC4301 说明 定义了密钥交换(IKE)协议,它是用于协商和验证密钥信息来保护连接的。
定义了IPSec的架构,IPSec能够提供的安全服务,以及各个组件之间如何配置工作的。
限制 ⚫使用预共享密钥进行IKE协议的建立。
⚫使用主模式进行协商。
请使用IPSec隧道模式建立VPN连接。
1 1简介 1.2应用场景 通过VPN在传统数据中心与VPC之间建立通信隧道,您可方便地使用云平台的云服务器、块存储等资源;应用程序转移到云中、启动额外的Web服务器、增加网络的计算容量,从而实现企业的混合云架构,既降低了企业IT运维成本,又不用担心企业核心数据的扩散。
VPN支持不同VPC下多个本端网关与同一个远端网关建立IPSecVPN隧道。
如上图所示,VPC1的1:192.168.1.0/24通过本端网关1.1.1.1和远端网关3.1.1.1建立的IPSecVPN隧道和远端子网192.168.3.0/24通信,VPC2的2:192.168.2.0/24通过本端网关2.1.1.1和远端网关3.1.1.1建立的IPSecVPN隧道和远端子网192.168.3.0/24通信。
此应用场景1和2的地址空间不能重叠。
1.3使用约束 关于VPN的使用,您需要注意以下几点:⚫每个账号默认申请2个VPN网关。
2 1简介 ⚫每个账号默认5个VPN连接,可申请工单调整配额。
如需更多连接数需咨询管理员方案。
1.4VPN参考标准和协议 与IPSec特性相关的参考标准与协议如下:⚫RFC4301:SecurityArchitecturefortheProtocol⚫RFC2403:TheUseofHMAC-MD5-96withinESPandAH⚫RFC2409:TheKeyExchange(IKE)⚫RFC2857:TheUseofHMAC-RIPEMD-160-96withinESPandAH⚫RFC3566:TheAES-XCBC-MAC-96AlgorithmanditsusewithIPsec⚫RFC3625:MoreModularExponential(MODP)Diffie-HellmangroupsforKeyExchange(IKE)⚫RFC3664:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchangeProtocol(IKE)⚫RFC3706:ATraffic-BasedMethodofDetectingDeadKeyExchange(IKE)Peers⚫RFC3748:ExtensibleAuthenticationProtocol(EAP)⚫RFC3947:NegotiationofNAT-TraversalintheIKE⚫RFC4109:AlgorithmsforKeyExchangeversion1(IKEv1)⚫RFC3948:UDPEncapsulationofIPsecESPPackets⚫RFC4305:CryptographicAlgorithmImplementationRequirementsforEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH)⚫RFC4306:KeyExchange(IKEv2)Protocol⚫RFC4307:CryptographicAlgorithmsforUseintheKeyExchangeVersion2(IKEv2)⚫RFC4322:OpportunisticEncryptionusingtheKeyExchange(IKE)⚫RFC4359:TheUseofRSA/SHA-1SignatureswithinEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH)⚫RFC4434:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchangeProtocol(IKE)⚫RFC4478:RepeatedAuthenticationinKeyExchange(IKEv2)⚫RFC5996:KeyExchangeProtocolVersion2(IKEv2)
3 2入门 2入门 2.1申请VPN 简介 默认情况下,在VirtualPrivateCloud(VPC)中的弹性云主机无法与您自己的数据中心或私有网络进行通信。
如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通,可以启用虚拟专用网络功能。
此操作您需要在VPC中创建VPN并更新安全组规则。
⚫简单的IPsecVPN内网对连拓扑说明如下图所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。
您可以通过VPN使VPC内的子网与数据中心的子网互相通信。
目前我们支持点到点VPN(Site-to-SiteVPN)和点到多点VPN(Hub-SpokeVPN),除了在VPC中搭建VPN,您还需在自己的数据中心内也搭建VPN。
VPC内的VPN和您搭建的VPN,需要保证IKE策略以及IPsec策略配置一致。
在配置前,请参考下表了解相关术语,并确认您的设备满足以下协议,以及相关配置的约束。
4 2入门 参数RFC2409 RFC4301 说明 定义了密钥交换(IKE)协议,它是用于协商和验证密钥信息来保护连接的。
定义了IPSec的架构,IPSec能够提供的安全服务,以及各个组件之间如何配置工作的。
限制 ⚫使用预共享密钥进行IKE协议的建立。
⚫使用主模式和野蛮模式进行协商。
请使用IPSec隧道模式建立VPN连接。
⚫操作场景 通过执行该任务,您可以创建VPN,以便在您的数据中心与云服务之间建立一条保密而安全的通信隧道。
VPN网关是VPC中建立IPsecVPN的出口网关,用于VPC和外部数据中心之间建立安全可靠的加密网络通信。
VPN连接是建立VPN网关和外部数据中心VPN网关之间的加密通道。
当前VPN连接仅支持IPsecVPN加密协议。
需要先申请VPN网关,再申请VPN连接,一个VPN网关可以对应多个VPN连接。
⚫申请VPN网关
1.登录管理控制台。
2.在管理控制台左上角单击图标,选择区域和项目。
3.在系统首页,单击“网络>虚拟专用网络”。
4.在左侧导航栏选择“虚拟专用网络>VPN网关”。
5.在“VPN网关”界面,单击“创建VPN网关”。
6.根据界面提示配置参数,并单击“立即购买”“CreateNow”。
分类 参数 说明 取值样例 计费模式类型 VPN网关支持按需计费。
按需计费
5 分类 参数 基本信息当前区域 VPC名称类型带宽 可靠性计费方式 描述 说明网关费用分为网关配置费用以及带宽使用费用。
区域指虚拟私有云所在的物理位置。
同一区域内可用分区间内网互通,不同区域间内网不互通。
可以在管理控制台左上角切换区域。
VPN接入的VPC名称。
VPN网关名称。
VPN类型。
默认为选择“IPsec”。
本地VPN网关的带宽大小,单位Mbit/s。
在VPN使用过程中,当网络流量超过VPN带宽时有可能造成网络拥塞导致VPN连接中断,请用户提前做好带宽规划。
可以在CES监控中配置告警规则对带宽进行监控。
可靠性表示vpn网关设备单活/双活 分为“按带宽计费”和“按流量计费” 描述vpn 取值样例哈尔滨 vpc-001vpngw-001IPsec100 单活按流量计费- 2入门
7.确认信息正确后,单击“提交”。
说明 VPN网关创建完成后,VPN网关的状态为“创建中”。
当有VPN连接使用该VPN网关时,VPN网关的状态更新为“正常”。
⚫申请VPN连接
1.登录管理控制台。
2.在管理控制台左上角单击图标,选择区域和项目。
3.在系统首页,单击“网络>虚拟专用网络”。
4.在左侧导航栏选择“虚拟专用网络>VPN连接”。
5.在“VPN连接”页面,单击“创建VPN连接”。
6 6.根据界面提示配置参数,并单击“立即购买”。
2入门 分参数 说明 类 取值样例 付计费模式VPN连接支持按需计费费 按需计费 基当前区域区域指虚拟私有云所在的物理位 哈尔滨 本 置。
同一区域内可用分区间内网互 信 通,不同区域间内网不互通。
可以 息 在管理控制台左上角切换区域。
VPN网关VPN连接挂载的VPN网关名称 vpcgw-001 名称 VPN连接名称 vpn-001 预共享密钥 预共享密钥(PreSharedKey),取值范围为6~128位。
此项配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。
Test@123 确认密钥再次输入预共享密钥。
Test@123 本端子网 ⚫⚫ VPC内需要与您的数据中心或者私有网络互通的子网。
支持以下方式设置本端子网 选择子网 手动输入网段 192.168.1.0/24,192.168.2.0/24 远端网关 您的数据中心或私有网络中VPN的公网IP地址,用于与VPC内的VPN
7 分参数类 说明 取值样例 互通。
在双活网关下支持输入2个远端网关IP地址。
远端子网 您的数据中心或私有网络中需要与VPC通信的子网地址。
远端子网网段不能被本端子网网段覆盖,也不能与本端VPC已有的对等连接网段重合。
192.168.3.0/24,192.168.4.0/24 高级配置⚫ ⚫ 默认配置 自定义配置:自定义配置IKE策略和IPsec策略。
相关配置说明请参考和。
自定义配置 2入门 ⚫IKE策略参数认证算法加密算法 DH算法版本生命周期(秒) 协商模式 说明 认证哈希算法,支持的算法:sha1、sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推荐)。
Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
IKE密钥交换协议版本,支持的版本:v1、v2。
安全联盟(SA—SecuityAssociations)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
选择IKE策略版本未“v1”时,可以配置协商模式,取值支持main、aggressive。
默认配置为:main 取值样例sha1aes-128 group5v186400 main ⚫IPsecPolicy策略参数 说明 取值样例
8 参数认证算法加密算法 PFS传输协议 生命周期(秒) 说明 取值样例 认证哈希算法,支持的算法:sha1、 sha1 sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推
荐) aes-128 Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
group5 IPSec传输和封装用户数据时使用的安全esp协议,目前支持的协议:ah、esp、ahesp。
安全联盟(SA—SecuityAssociations)3600的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
2入门 说明IKE策略指定了IPSec隧道在协商阶段的加密和认证算法,IPSec策略指定了IPSec在数据传输阶段所使用的协议,加密以及认证算法;这些参数在VPC上的VPN连接和您数据中心的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
7.单击“提交”。
创建成功后云为该IPSecVPN分配一个公网出口IP地址。
该地址为VPN页面中,已创建的VPN的本端网关地址。
在您自己数据中心配置对端隧道时,远端网关需要配置为该IP地址。
8.因为隧道的对称性,还需要在您自己数据中心的路由器或者防火墙上进行IPSecVPN隧道配置。
VPN配置样例请参考5.11如何配置VPN对端设备?(HUAWEIUSG6600配置示例)VPN连接支持的协议参考5.3VPN参考标准和协议有哪些?VPN设备支持列表请参考5.12对端VPN设备支持列表?
2.2配置安全组策略 2.2.1创建安全组基本信息 简介 安全组是一组对弹性云主机的访问规则的集合,为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。
9 2入门 您可以创建安全组并定义安全组中的规则,将VPC中的弹性云主机划分成不同的安全域,以提升弹性云主机访问的安全性。
创建安全组成功后,没有自定义规则的安全组即具备默认的安全组规则。
VPC内的安全组默认不允许任何源访问,因此如果需要使用VPN让云上云下设备互通,则需要在配置改VPC的安全组规则,允许对端VPN设备访问该VPC。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟私有云”。
3.在左侧导航树选择“安全组”。
4.在“安全组”界面,单击“创建安全组”。
参数名称 描述
5.在“创建安全组”下拉区域,根据界面提示配置参,参数说明参考下表。
参数说明 取值样例 安全组的名称,必填项。
安全组的名称只能由中文、英文字母、数字、“_”、“-”和“.”组成,且不能有空格,长度不能大于64个字符。
说明安全组名称创建后可以修改,建议不要重名。
sg-34d6 安全组的描述信息,非必填项。
- 描述信息内容不能超过255个字符,且不能包含“<”和“>”。
6.单击“确定”。
2.2.2为安全组添加安全组规则 ⚫操作场景 安全组的默认规则是在出方向上的数据报文全部放行,安全组内的弹性云主机无需添加规则即可互相访问。
安全组创建后,您可以在安全组中定义各种访问规则,当弹性云主机加入该安全组后,即受到这些访问规则的保护。
当需要从安全组外访问安全组内的弹性云主机时,需要为安全组添加相应的入方向规则,例如: ⚫使用mstsc方式远程访问Windows系统的弹性云主机,需要添加协议为“TCP”、端口为3389的入方向规则。
10 2入门 ⚫使用ssh方式远程访问Linux系统的弹性云主机,需要添加协议为“TCP”、端口为22的入方向规则。
⚫源地址需要设置为包含远程登录弹性云主机的机器所在的IP地址范围。
建议将不同公网访问策略的弹性云主机划分到不同的安全组。
说明源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的弹性云主机。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟私有云”。
3.在左侧导航树选择“安全组”。
4.在安全组界面,单击操作列的“配置规则”,进入安全组详情界面。
5.在“入方向”页签,单击“添加规则”,添加入方向规则。
单击“+”可以依次增加多条入方向规则。
参说明数 取值样例 协网络协议,取值范围为:TCP,UDP,ICMP,ANY。
TCP 议 端规则的端口范围,取值范围为:1~65535。
口范围 22或22-30 源可以是IP地址,也可以是安全组。
地例如:址xxx.xxx.xxx.xxx/32(IPv4地址) xxx.xxx.xxx.0/24(子网)0.0.0.0/0(任意地址) 0.0.0.0/0default
6.在“出方向”页签,单击“添加规则”,添加出方向规则。
11 单击“+”可以依次增加多条出方向规则。
参说明数 协网络协议,取值范围为:TCP,UDP,ICMP,ANY。
议 端规则的端口范围,取值范围为:1~65535。
口范围 目可以是IP地址,也可以是安全组。
的例如:地址xxx.xxx.xxx.xxx/32(IPv4地址) xxx.xxx.xxx.0/24(子网)0.0.0.0/0(任意地址) 2入门 取值样例TCP22或22-30 0.0.0.0/0default 2.2.3删除安全组规则 ⚫操作场景 当安全组规则入方向、出方向源IP地址有变化时,可以通过先删除安全组规则、之后重新添加安全组规则的方式进行安全组规则的更新。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟私有云”。
3.在左侧导航树选择“安全组”。
4.在“安全组”界面,单击安全组名,进入安全组详情界面。
5.当不需要安全组规则时,单击规则所在行的“删除”。
6.单击“确定”。
12 3管理 3管理 3.1配置VPN对端设备 因为隧道的对称性,在云上的VPN参数和您的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
在您自己数据中心的路由器或者防火墙上需要进行IPSecVPN隧道配置,具体配置方法取决于您使用的网络设备,请查询对应设备厂商的指导书。
本文以HuaweiUSG6600系列V100R001C30SPC300版本的防火墙和CISCO2900系列15.0版本的防火墙配置为例进行说明,供参考。
3.1.1HUAWEIUSG6600配置示例 本章节以HuaweiUSG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明,供参考。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,VPC上IPSec隧道的出口公网IP为93.188.242.110(从VPC上IPSecVPN的本端网关参数上获取)。
⚫操作步骤
1.登录防火墙设备的命令行配置界面。
2.查看防火墙版本信息。
displayversion17:20:502017/03/09HuaweiVersatileSecurityPlatformSoftwareSoftwareVersion:USG6600V100R001C30SPC300(VRP(R)Software,Version5.30)Copyright(C)2014-2016HuaweiTechnologiesCo.,Ltd..
3.创建ACL并绑定到对应的vpn-instance。
aclnumber3065vpn-instancevpn64rule1permitipsource192.168.3.00.0.0.255destination192.168.1.00.0.0.255rule2permitipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255rule3permitipsource192.168.4.00.0.0.255destination192.168.1.00.0.0.255rule4permitipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255q
4.创建ikeproposal。
13 3管理 ikeproposal64dhgroup5authentication-algorithmsha1integrity-algorithmhmac-sha2-256saduration3600q
5.创建ikepeer,并引用之前创建的ikeproposal,其中对端IP地址是93.188.242.110。
ikepeervpnikepeer_64pre-shared-key********(********为您输入的预共享密码)ike-proposal64undoversion2remote-addressvpn-instancevpn6493.188.242.110sabindingvpn-instancevpn64q
6.创建IPSec协议。
ipsecproposalipsecpro64encapsulation-modetunnelespauthentication-algorithmsha1q
7.创建IPSec策略,并引用ikepolicy和ipsecproposal。
ipsecpolicyvpnipsec641isakmpsecurityacl3065pfsdh-group5ike-peervpnikepeer_64proposalipsecpro64local-addressxx.xx.xx.xxq
8.将IPSec策略应用到相应的子接口上去。
interface0/0/2.64ipsecpolicyvpnipsec64q
9.测试连通性。
在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示: 14 3管理 3.1.2CISCOCISCO-2900配置示例 本章节以CISCO2900系列15.0版本的防火墙配置过程为例进行说明,供参考。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,VPC上IPSec隧道的出口公网IP为93.188.242.110(从VPC上IPSecVPN的本端网关参数上获取)。
⚫操作步骤
1.登录防火墙设备的命令行配置界面。
2.配置isakmp策略。
cryptoisakmppolicy1authenticationpre-shareencryptionaes256hashshagroup5lifetime3600
3.配置预共享密钥。
cryptoisakmpkey********address93.188.242.110(********为您输入的预共享密钥)
4.配置IPSec安全协议。
cryptoipsectransform-setipsecpro64esp-aes256esp-sha-hmacmodetunnel
5.配置ACL(访问控制列表),定义需要保护的数据流。
ess-list100permitip192.168.3.00.0.0.255192.168.1.00.0.0.255ess-list100permitip192.168.3.00.0.0.255192.168.2.00.0.0.255ess-list100permitip192.168.4.00.0.0.255192.168.1.00.0.0.255ess-list100permitip192.168.4.00.0.0.255192.168.2.00.0.0.255
6.配置IPSec策略。
15 3管理 cryptomapvpnipsec6410ipsec-isakmpsetpeer93.188.242.110settransform-setipsecpro64matchaddress100
7.在接口上应用IPSec策略。
interfaceg0/0cryptomapvpnipsec64
8.测试连通性。
在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示: 3.2查看VPN连接 ⚫操作场景用户申请VPN连接后,可以查看已申请的VPN连接。
⚫操作步骤
1.在系统首页,单击“网络>虚拟专用网络”。
2.在左侧导航栏选择“虚拟专用网络>VPN连接”。
3.在“VPN连接”页面的VPN连接列表中可以查看VPN连接。
16 3.3查看VPN网关 ⚫操作场景用户申请VPN网关后,可以查看已申请的VPN网关。
⚫操作步骤
1.在系统首页,单击“网络>虚拟专用网络”。
2.在左侧导航栏选择“虚拟专用网络>VPN网关”。
3.在“VPN网关”页面的VPN网关列表中可以查看VPN网关。
3管理 3.4修改VPN网关 ⚫操作场景VPN网关是VPC中建立IPsecVPN的出口网关,用于VPC和外部数据中心之间建立安全可靠的加密网络通信。
当已有VPN网关的名称、带宽大小等网络参数有变化时,可以修改VPN网关。
⚫操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
3.在左侧导航栏选择“虚拟专用网络>VPN网关”。
4.在“VPN网关”界面所需修改的VPN网关所在行,单击“修改”。
5.根据界面提示配置参数。
6.单击“确定”。
3.5修改VPN连接 操作场景 VPN连接是建立VPN网关和外部数据中心VPN网关之间的加密通道。
当VPN连接的网络参数变化时,可以修改VPN连接。
操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
17
3.在左侧导航栏选择“虚拟专用网络>VPN连接”。
4.在“VPN连接”界面所需修改的VPN连接所在行,单击“修改”。
3管理
5.根据界面提示配置参数。
6.单击“确定”。
3.6删除VPN网关 操作场景 当无需使用VPN网关时,可删除VPN网关。
已被VPN连接使用的VPN网关不可删除,请先删除相关的VPN连接,再删除VPN网关。
操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
3.在左侧导航栏选择“虚拟专用网络>VPN网关”。
4.在“VPN网关”界面所需删除的VPN网关所在行,单击“删除”。
5.单击“确定”。
3.7删除VPN连接 操作场景 当无需使用VPN网络、需要释放网络资源时,可删除VPN连接。
操作步骤
1.登录管理控制台。
2.在系统首页,单击“网络>虚拟专用网络”。
3.在左侧导航栏选择“虚拟专用网络>VPN连接”。
4.在“VPN连接”界面所需删除的VPN连接所在行,单击“删除”。
5.单击“确定”。
18 4VPN最佳实践 4VPN最佳实践 4.1通过VPN连接VPC ⚫操作场景默认情况下,在VirtualPrivateCloud(VPC)中的弹性云主机无法与您自己的数据中心或私有网络进行通信。
如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通,可以启用VPN功能。
申请VPN后,用户需要配置安全组并检查本段与对端网络的连通性,以确保VPN功能可用。
主要场景分为两类: ⚫点对点VPN:本端为处于公有云平台上的一个VPC,对端为数据中心,通过VPN建立用户数据中心与VPC之间建立通信隧道。
⚫点对多点VPN:本端为处于公有云平台上的多个VPC,对端为数据中心,通过VPN建立用户数据中心与不同VPC之间建立通信隧道。
配置VPN时需要注意以下几点:⚫本端子网与对端子网不能重叠。
⚫本端子网网段不能重叠。
⚫本端和对端的IKE策略相同。
⚫本端和对端的IPSec策略相同。
⚫本端和对端子网,网关等参数对称。
⚫本端和对端的PSK相同。
⚫VPC内弹性云主机安全组允许访问对端和被对端访问。
⚫VPN对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN的状态才会刷新为正常。
⚫前提条件已创建VPN所需的虚拟私有云和子网。
⚫操作步骤
1.在管理控制台上,选择合适的IKE策略和IPsec策略申请VPN。
2.检查本端和对端子网的IP地址池。
19 4VPN最佳实践如下图所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。
您可以通过VPN使VPC内的子网与数据中心的子网互相通信。
本端和对端子网IP池不能重合。
例如,本端VPC有两个子网,分别为:192.168.1.0/24和192.168.2.0/24,那么对端子网的IP地址池不能包含本端VPC的这两个子网。
3.配置VPC的安全组策略。
4.检查VPC安全组。
安全组必须放通来自VPN的报文。
可以使用ping方法来检查VPC安全组是否放通。
5.检查远端LAN配置(即对端数据中心网络配置)。
在远程LAN(对端数据中心网络)配置中有可以将VPN流量转发到LAN中网络设备的路由。
如果VPN流量无法正常通信,请检查远程LAN是否存在拒绝策略。
20 5常见问题 5常见问题 5.1一个用户下支持多少个IPSecVPN? 一个用户默认只能配置5个IPSecVPN,如果规格不能满足需求,可以申请扩容。
5.2IPSecVPN是否会自动进行协商? IPSecVPN隧道为被动模式,只有在本端有流量经过隧道时才会触发自动协商。
5.3VPN参考标准和协议有哪些? 与IPSec特性相关的参考标准与协议如下:⚫RFC4301:SecurityArchitecturefortheProtocol⚫RFC2403:TheUseofHMAC-MD5-96withinESPandAH⚫RFC2409:TheKeyExchange(IKE)⚫RFC2857:TheUseofHMAC-RIPEMD-160-96withinESPandAH⚫RFC3566:TheAES-XCBC-MAC-96AlgorithmanditsusewithIPsec⚫RFC3625:MoreModularExponential(MODP)Diffie-HellmangroupsforKeyExchange(IKE)⚫RFC3664:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchangeProtocol(IKE)⚫RFC3706:ATraffic-BasedMethodofDetectingDeadKeyExchange(IKE)Peers⚫RFC3748:ExtensibleAuthenticationProtocol(EAP)⚫RFC3947:NegotiationofNAT-TraversalintheIKE⚫RFC4109:AlgorithmsforKeyExchangeversion1(IKEv1)⚫RFC3948:UDPEncapsulationofIPsecESPPackets⚫RFC4305:CryptographicAlgorithmImplementationRequirementsforEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH) 21 5常见问题 ⚫RFC4306:KeyExchange(IKEv2)Protocol⚫RFC4307:CryptographicAlgorithmsforUseintheKeyExchange Version2(IKEv2)⚫RFC4322:OpportunisticEncryptionusingtheKeyExchange(IKE)⚫RFC4359:TheUseofRSA/SHA-1SignatureswithinEncapsulatingSecurity Payload(ESP)andAuthenticationHeader(AH)⚫RFC4434:TheAES-XCBC-PRF-128AlgorithmfortheKeyExchange Protocol(IKE)⚫RFC4478:RepeatedAuthenticationinKeyExchange(IKEv2)⚫RFC5996:KeyExchangeProtocolVersion2(IKEv2) 5.4如何解决VPN无法建立连接问题?
1.检查云上和对端VPN的参数是否一致。
基本参数参数PSK 说明 预共享密钥(PreSharedKey),取值范围为6~128位。
此项配置在VPC的VPN和您的数据中心的VPN中,配置需要一致。
取值样例Test@123 IKE策略 参数认证算法 加密算法 DH算法版本生命周期(秒) 协商模式 说明 认证哈希算法,支持的算法:sha1、sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推荐)。
Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
IKE密钥交换协议版本,支持的版本:v1、v2。
安全联盟(SA—SecuityAssociations)的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
选择IKE策略版本为“v1”时,可以配置 取值样例sha1aes-128 group5v186400 main 22 参数 说明 协商模式,取值支持main、aggressive。
默认配置为:main。
5常见问题取值样例 IPsecPolicy策略参数认证算法加密算法 DH算法传输协议 生命周期(秒) 说明 取值样例 认证哈希算法,支持的算法:sha1、 sha1 sha2-256、sha2-384、sha2-512、md5。
加密算法,支持的算法:aes-128、aes192、aes-256、3des(有安全风险不推
荐) aes-128 Diffie-Hellman密钥交换算法,支持的算法:group2、group5、group14。
group5 IPSec传输和封装用户数据时使用的安全esp协议,目前支持的协议:ah、esp、ahesp。
安全联盟(SA—SecuityAssociations)3600的生存时间,单位:秒。
在超过生存时间后,安全联盟将被重新协商。
2.检查ACL是否配置正确。
假设您的数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,则你在数据中心或局域网中的ACL应对你的每一个数据中心子网配置允许VPC下的子网通信的规则,如下例: rule1permitipsource192.168.3.00.0.0.255destination192.168.1.00.0.0.255rule2permitipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255rule3permitipsource192.168.4.00.0.0.255destination192.168.1.00.0.0.255rule4permitipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255 5.5VPN连接建立后您的数据中心或局域网无法访问弹性云主机? 我们提供的安全组默认不允许任何源访问,请确认您的安全组是否配置允许对端的子网地址访问。
23 5常见问题 5.6VPN连接建立后,弹性云主机无法访问您的数据中心或局域网? 需要确认是否已做好VPN公网IP到您的数据中心或局域网公网IP的防火墙策略,云上出口未做策略限制。
5.7VPN支持将两个VPC互连吗? 如果两个VPC位于同一区域内,可以使用VPC对等连接互连。
如果两个VPC位于不同区域,可以通过VPN连接,分别把这两个VPC的CIDR作为本端子网和远端子网。
5.8VPN本端子网和远端子网数量有什么限制? VPN本端子网和远端子网数量乘积最大支持到1000的规模。
5.9为什么VPN创建成功后状态显示未连接? VPN对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN的状态才会刷新为正常。
⚫IKEv1版本:如果VPN连接经历了一段无流量的空闲时间,则需要重新协商。
协商时间取决于IPsecPolicy策略中的“生命周期(秒)”取值。
“生命周期(秒)”取值一般为3600(1小时),会在第54分钟时重新发起协商。
若协商成功,则保持则保持连接状态至下一轮协商。
若协商失败,则在1小时内将状态设置为未连接,需要VPN两端重新进行通信才能恢复为连接状态。
可以使用网络监控工具(例如IPSLA)生成保持连接的Ping信号来避免这种情况发生。
⚫IKEv2版本:如果VPN连接经历了一段无流量的空闲时间,VPN保持连接状态。
5.10VPN配置下发后,多久能够生效? VPN配置生效的时间与VPN配置中的本端子网数和对端子网数的乘积呈线性增长关系。
5.11如何配置VPN对端设备?(HUAWEIUSG6600配置示例) 因为隧道的对称性,在云上的VPN参数和您的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
24 5常见问题 在您自己数据中心的路由器或者防火墙上需要进行IPSecVPN隧道配置,具体配置方法取决于您使用的网络设备,请查询对应设备厂商的指导书。
本文以HuaweiUSG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明,供参考。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,VPC下的子网为192.168.1.0/24和192.168.2.0/24,VPC上IPSec隧道的出口公网IP为XXX.XXX.XX.XX(从VPC上IPSecVPN的本端网关参数上获取)。
操作步骤
1.登录防火墙设备的命令行配置界面。
2.查看防火墙版本信息。
displayversion17:20:502017/03/09HuaweiVersatileSecurityPlatformSoftwareSoftwareVersion:USG6600V100R001C30SPC300(VRP(R)Software,Version5.30)Copyright(C)2014-2016HuaweiTechnologiesCo.,Ltd..
3.创建ACL并绑定到对应的vpn-instance。
aclnumber3065vpn-instancevpn64rule1permitipsource192.168.3.00.0.0.255destination192.168.1.00.0.0.255rule2permitipsource192.168.3.00.0.0.255destination192.168.2.00.0.0.255rule3permitipsource192.168.4.00.0.0.255destination192.168.1.00.0.0.255rule4permitipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255q
4.创建ikeproposal。
ikeproposal64dhgroup5authentication-algorithmsha1integrity-algorithmhmac-sha2-256saduration3600q
5.创建ikepeer,并引用之前创建的ikeproposal,其中对端IP地址是93.188.242.110。
ikepeervpnikepeer_64pre-shared-key********(********为您输入的预共享密码)ike-proposal64undoversion2remote-addressvpn-instancevpn6493.188.242.110sabindingvpn-instancevpn64q
6.创建IPSec协议。
ipsecproposalipsecpro64encapsulation-modetunnelespauthentication-algorithmsha1q
7.创建IPSec策略,并引用ikepolicy和ipsecproposal。
ipsecpolicyvpnipsec641isakmpsecurityacl3065pfsdh-group5 25 5常见问题 ike-peervpnikepeer_64proposalipsecpro64local-addressxx.xx.xx.xxq
8.将IPSec策略应用到相应的子接口上去。
interface0/0/2.64ipsecpolicyvpnipsec64q
9.测试连通性。
在上述配置完成后,我们可以利用您在云中的主机和您数据中心的主机进行连通性测试,如下图所示: 5.12对端VPN设备支持列表?
满足IPSECVPN标准和协议的设备,大部分都可以对接VPN。
例如:CiscoASA防火墙、华为USG6系列防火墙、USG9系列防火墙、山石网科防火墙、CiscoISR路由器等。
对于华为USG6系列防火墙、USG9系列防火墙具体设备列表如下表所示。
对端支持列表HUAWEIUSG6系列 HUAWEIUSG9系列 说明 USG6320/6310/6510-SJJUSG6306/6308/6330/6350/6360/6370/6380/6390/6507/6530/6550/6570:2048USG6620/6630/6650/6660/6670/6680 USG9520/USG9560/USG9580 26 5常见问题其他满足5.3VPN参考标准和协议有哪些?的设备,也在支持列表中,但是可能会因为设备对协议的实现方式不一致,导致接入失败。
如果发现不能建立连接,请参考5.4如何解决VPN无法建立连接问题?,进行基本检查或联系技术支持人员。
27
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。
