VPN快速入门

  • VPN-准备工作

    在使用虚拟专用网络服务之前,您需要完成本文中的准备工作。

    在使用虚拟专用网络服务之前,您需要完成本文中的准备工作。

  • VPN-入门指引

    场景描述:由于业务发展,企业A需要将数据中心和VPC的数据进行互通。

    场景描述:由于业务发展,企业A需要将数据中心和VPC的数据进行互通。

  • VPN-创建VPN网关

    步骤一:创建VPN网关指导

    步骤一:创建VPN网关指导

  • VPN-创建对端网关

    步骤二:创建对端网关操作步骤

    步骤二:创建对端网关操作步骤

  • VPN-创建第一条VPN连接

    步骤三:创建第一条VPN连接操作步骤

    步骤三:创建第一条VPN连接操作步骤

  • VPN-创建第二条VPN连接

    步骤四:创建第二条VPN连接操作步骤

    步骤四:创建第二条VPN连接操作步骤

  • VPN-配置对端网关设备

    步骤五:配置对端网关设备操作步骤

    步骤五:配置对端网关设备操作步骤

  • VPN-验证网络互通情况

    步骤六:验证网络互通情况操作步骤

    步骤六:验证网络互通情况操作步骤

  • VPN-经典版VPN购买流程

    经典版VPN购买流程操作指引

    经典版VPN购买流程操作指引

VPN作用

产品概述

虚拟专用网络(Virtual Private Network,以下简称VPN),用于在企业用户本地网络、数据中心与华为云云上网络之间搭建安全、可靠、高性价比的加密连接通道。

VPN由VPN网关、对端网关和VPN连接组成。

  1. VPN网关提供了VPC的公网出口,与用户数据中心的对端网关对应。
  2. VPN连接通过加密技术,将VPN网关与对端网关相关联,使数据中心与VPC通信,更快速、更安全地构建混合云环境。

VPN组网图如图1所示。

图1 VPN组网图

组成部分

  1. VPN网关:虚拟专用网络在华为云上的虚拟网关,与用户本地网络、数据中心的对端网关建立安全私有连接。
  2. 对端网关:用户数据中心的VPN设备或软件应用程序。控制台上创建的对端网关是云上虚拟对象,用于记录用户数据中心实体设备的配置信息。
  3. VPN连接:VPN网关和对端网关之间的安全通道,使用IKE和IPsec协议对传输数据进行加密。

访问方式

VPN服务提供了Web化的服务管理平台,即管理控制台。用户可以登录管理控制台访问VPN服务。

  1. 如果用户已注册帐户,可直接登录管理控制台,在主页选择“网络 > 虚拟专用网络”。
  2. 如果未注册,请参见准备工作中的“注册华为云并实名认证”。

VPN常见问题

VPN常见问题

  • 是否可以将应用部署在云端,数据库放在本地IDC,然后通过VPN实现互联?

    可以。

    VPN连通的是两个子网,即云上VPC网络与用户数据中心网络。

    VPN成功建立后,两个子网间可以运行任何类型的业务流量,此时应用服务器访问数据库业务在逻辑上和访问同一局域网的其它主机是相同的,因此该方案可行的。

    这种场景是IPsec VPN的典型场景,请用户放心使用。

    同时VPN连通以后,并不限定业务的发起方是云上还是用户侧数据中心,即用户可以从云上向用户侧数据中心发起业务,也可以反向。

    须知:用户在打通VPN以后,需要关注网络延迟和丢包情况,避免影响业务正常运行。

    建议用户先运行ping,获取网络的丢包和时延情况。

  • 是否可以通过VPN实现跨境访问国外网站?

    不可以。

    华为云VPN实现的是将云上的VPC子网和用户侧数据中心的IDC网络打通的场景,即站点与站点互通(site to site)。

  • VPN连接中断后会通知我吗?

    VPN连接的状态监控功能已上线,VPN连接创建后即会向云监控服务CES上报状态信息,但是并不会自动向用户发送告警通知,需要在服务列表中选择“管理与监管 > 云监控”创建告警规则。

    VPN连接状态请在VPN连接“监控”列中单击进行查看。

  • 哪些设备可以与华为云进行VPN对接?

    华为云的VPN支持标准IPsec协议,用户可以通过以下两个方面确认用户侧数据中心的设备能否与华为云进行对接:

    1. 设备是否具备IPsec功能和授权:请查询设备的特性列表获取是否支持IPsec VPN。
    2. 关于组网结构,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)也可以。

    设备型号多为路由器、防火墙等,对接配置请参见管理员指南

  • 建立IPsec VPN连接需要帐户名和密码吗?

    常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP,华为云的IPsec VPN使用预共享密钥方式进行认证,密钥配置在VPN网关上,在VPN协商完成后即建立通道,VPN网关所保护的主机在进行通信时无需输入帐户名和密码。


    说明:

    IPsec XAUTH技术是IPsec VPN的扩展技术,它在VPN协商过程中可以强制接入用户输入帐户名和密码。

    目前华为云VPN不支持该扩展技术。

  • 创建VPN都会产生哪些费用,VPN网关IP收费吗?

    VPN计费模式分为包周期和按需两种,费用包含:

    1、VPN网关费用

    2、VPN连接费用

    默认提供10条免费的VPN连接;超过10条后需要付费购买。

    3、VPN网关弹性公网IP带宽费用

    网关带宽的计费又可分为按流量或按带宽计费。

    A、包周期计费模式下不可选择按流量计费。如果您选择包周期模式创建VPN,在创建网关阶段一次性收取网关带宽费用和连接的费用,用户后续创建VPN连接时不再收取费用。

    B、按需方式为先使用后付费模式,计费周期为1小时。如果您选择按需模式创建VPN,页面会提示同时创建连接,费用包含了网关带宽费用和10个连接组费用,您在创建第11个连接时组时只产生连接的费用。

    说明:

    VPN网关的带宽费用是独立的,与ECS绑定的EIP带宽相互独立,无法共享。


  • IPsec VPN是否会自动建立连接?

    支持自动建立连接。

  • VPN网关删除后公网地址是否可以保留?

    按需VPN网关如果绑定了按需EIP,则VPN网关删除后会同步删除绑定的按需EIP。

    如果需要保留EIP,请在删除VPN网关前对EIP进行解绑操作。

  • EIP能作为VPN的网关IP吗?

    不可以。

    VPN网关IP是在创建VPN网关时分配的,需要和系统内的相关配置信息结合使用,EIP不具备VPN对接服务的功能。

  • VPN支持将两个VPC互连吗?

    1、如果两个VPC位于同一区域内,不支持VPN互连,推荐使用VPC对等连接互连。

    2、如果两个VPC位于不同区域,支持VPN互连,具体操作如下:

    A、为这两个VPC分别创建VPN网关,并为两个VPN网关创建VPN连接。

    B、将两个VPN连接的远端网关设置为对方VPN网关的网关EIP。

    C、将两个VPN连接的远端子网设置为对方VPC的网段。

    D、两个VPN连接的预共享密钥和算法参数需保持一致。