虚拟网络组网
约束与限制
表1 约束与限制
|
VPN网关类型
|
资源
|
默认限制
|
如何提升配额
|
|---|---|---|---|
企业版VPN |
每租户在每区域支持创建的VPN网关数量 |
50 如果您只有一个VPC,则该VPC最大创建50个VPN网关。 如果您有多个VPC,则多个VPC创建的VPN网关数量最大为50个。 |
申请更多配额,请参见提交工单 |
企业版VPN |
每租户在每区域支持创建的对端网关数量 |
100 |
申请更多配额,请参见提交工单 |
企业版VPN |
每VPN网关支持配置的VPN连接组数量 |
100 |
不支持修改。 |
企业版VPN |
每VPN网关支持配置的本地子网数量 |
50 |
不支持修改。 |
企业版VPN |
每VPN连接支持配置的策略规则数量 |
5 |
不支持修改。 |
企业版VPN |
每VPN连接支持配置的对端子网数量 |
50 |
不支持修改。 |
企业版VPN |
每VPN网关支持通过每连接接收对端网关发布的BGP路由数量 |
100 |
不支持修改。 |
经典版VPN |
每租户在每区域支持创建的VPN网关数量 |
2 每个VPC最大创建1个VPN网关。 |
申请更多配额,请参见提交工单。 |
经典版VPN |
每租户在每区域支持创建的VPN连接数量 |
12 |
不支持修改。 |
专用虚拟网络快速入门
准备工作
注册华为云并实名认证
如果您已有一个华为云帐号,请跳到下一个任务。如果您还没有华为云帐号,请参见以下步骤创建。
1、打开https://www.huaweicloud.com/,单击“注册”。
2、根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?
注册成功后,系统会自动跳转至您的个人信息界面。
3、参考实名认证完成个人或企业帐号实名认证。
为账户充值
您需要确保账户有足够金额。
关于虚拟专用网络的价格,请参见价格详情。
虚拟网络组网
为什么选择华为云虚拟专用网络VPN
安全可靠,弹性灵活
-本地数据中心与云上VPC,基于Internet建立安全可靠的IPsec加密通道,保证混合云架构安全可靠
-提供双活网关保护,可靠性SLA达到99.95%
-提供多种网关规格,满足应用和业务的弹性灵活伸缩的需求
双活网关,大带宽,多连接
-双活网关跨AZ部署,提供AZ级的故障保护
-支持策略路由、静态路由、动态路由的灵活选择
-用户可以根据业务需要,灵活组合带宽和VPN连接数
VPN与专线互备
-本地数据中心与云上VPC同时建立专线连接和VPN连接,在专线链路故障时通过VPN连接提供保护
-支持动态路由自动收敛,实现故障快速倒换,业务秒级恢复
即买即用,便捷管理
-VPN网关按需购买,实时生效,提供按需、包周期多种计费模式
-可以使用界面进行管理配置,操作简单易用
-用户数据中心的VPN设备进行简单配置即可完成对接
虚拟专用网络常见问题
虚拟专用网络常见问题
-
什么是VPC、VPN网关、VPN连接?
VPC:虚拟私有云是指云上隔离的、私密的虚拟网络环境,用户可通过虚拟专用网络(VPN)服务,安全访问云上虚拟网络内的主机(ECS)。
VPN网关:虚拟私有云中建立的出口网关设备,通过VPN网关可建立虚拟私有云和企业数据中心或其它区域VPC之间的安全可靠的加密通信。
VPN连接:是一种基于Internet的IPsec加密技术,帮助用户快速构建VPN网关和用户本地数据中心的远端网关之间的安全、可靠的加密通道。
云上建立VPN网络分为以下两个步骤:
1、创建VPN网关:创建VPN网关指明了VPN互联的本地VPC,同时创建连接带宽和网关IP。
2、VPN连接:创建VPN连接指明了与客户侧对接的网关IP、子网和协商策略信息。
-
如何理解VPN连接中的对端网关和对端子网?
对端网关和对端子网是个相对的概念,在建立VPN连接时,从华为云的角度出发,华为云VPC网络就是本地子网,创建的VPN网关就是本地网关,与之对接的用户侧网络就是对端子网, 用户侧的网关就是对端网关。
对端网关IP就是用户侧网关的公网IP,对端子网指需要和华为云VPC子网互联的子网。
-
VPN接入VPC的网络地址如何规划?
云上VPC地址段和客户云下的地址段不能冲突,且不允许存在包含关系。
为避免和云服务地址冲突,用户侧网络应尽量避免使用127.0.0.0/8、169.254.0.0/16、224.0.0.0/3、100.64.0.0/10的网段。
-
IPsec VPN是否会自动建立连接?
支持自动建立连接。
-
哪些设备可以与华为云进行VPN对接?
华为云的VPN支持标准IPsec协议,用户可以通过以下两个方面确认用户侧数据中心的设备能否与华为云进行对接:
1、设备是否具备IPsec功能和授权:请查询设备的特性列表获取是否支持IPsec VPN。
2、关于组网结构,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)也可以。
设备型号多为路由器、防火墙等,对接配置请参见管理员指南。
说明:1、普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务(如L2TP)无法与华为云的VPN进行对接。
2、与华为云VPN服务做过对接测试厂商包括:
A、设备厂商:华为(防火墙)。
B、云服务厂商包括:阿里云,腾讯云,亚马逊(aws),微软(Microsoft Azure)。
C、软件厂商包括:strongSwan。
3、IPsec协议属于IETF标准协议,宣称支持该协议的厂商均可与华为云进行对接,用户不需要关注具体的设备型号。
目前绝大多数企业级路由器和防火墙都支持该协议。
4、部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的,但是需要专门购买软件License才能激活相关功能。
请用户侧数据中心管理员根据设备具体型号与厂商进行确认。
-
建立IPsec VPN连接需要帐户名和密码吗?
常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP,华为云的IPsec VPN使用预共享密钥方式进行认证,密钥配置在VPN网关上,在VPN协商完成后即建立通道,VPN网关所保护的主机在进行通信时无需输入帐户名和密码。
说明:IPsec XAUTH技术是IPsec VPN的扩展技术,它在VPN协商过程中可以强制接入用户输入帐户名和密码。
目前华为云VPN不支持该扩展技术。
-
VPN连接支持使用国产加密算法吗?
不支持。
请使用华为云控制台界面提供的算法进行协商,请确保两端协商算法一致即可。
-
VPN配置下发后,多久能够生效?
用户在管理控制台中完成VPN资源创建后,配置1-5分钟下发完成,下发后立即生效
说明:VPN配置下发成功后,并不表示VPN连接已经建立成功,用户还需要对用户侧网关设备进行配置,完成与华为云VPN网关的隧道协商。
-
华为云VPN是否支持IPv6?
不支持。
当前华为云只支持IPv4的VPN网络,暂不支持IPv6,也不支持IPv4与IPv6的双栈。
-
VPN连接中断后会通知我吗?
VPN连接的状态监控功能已上线,VPN连接创建后即会向云监控服务CES上报状态信息,但是并不会自动向用户发送告警通知,需要在服务列表中选择“管理与监管 > 云监控”创建告警规则。
VPN连接状态请在VPN连接“监控”列中单击进行查看。
