Adquisición de una conexión de VPN
Escenarios
Para conectar su centro de datos local o red privada a sus ECS en una VPC, debe crear una conexión de VPN después de obtener un gateway de VPN.
Procedimiento
- Inicie sesión en la consola de gestión.
- Haga clic en en la esquina superior izquierda y seleccione la región y el proyecto deseados.
- Haga clic en Service List y elija Networking > Virtual Private Network.
- En el panel de navegación de la izquierda, elija Virtual Private Network > Classic â VPN Connections.
Si Enterprise Edition VPN está disponible para la región seleccionada, elija Virtual Private Network > Classic.
- En la página VPN Connections, haga clic en Buy VPN Connection.
- Configure los parámetros como se le solicite y haga clic en Next. Tabla 1 enumera los parámetros de conexión de VPN.
Tabla 1 Descripción de los parámetros de conexión de VPN Parámetro
Descripción
Valor de ejemplo
Region
Las regiones son áreas geográficas que están fÃsicamente aisladas unas de otras. Las redes dentro de diferentes regiones no están conectadas entre sÃ, por lo que los recursos no se pueden compartir entre regiones. Para una baja latencia de red y un acceso rápido a los recursos, seleccione la región más cercana a los usuarios de destino.
CN North-Beijing4
Name
Nombre de una conexión de VPN.
vpn-001
VPN Gateway
Nombre del gateway de VPN para el que se crea la conexión de VPN.
vpcgw-001
Local Subnet
Subredes de VPC que accederán a su red local con una VPN. Puede establecer la subred local a través de cualquiera de los siguientes métodos:
- Select subnet: seleccione las subredes que necesitan acceder a su centro de datos local o red privada.
- Specify CIDR block: Ingrese los bloques CIDR que necesitan acceder a su centro de datos local o red privada.
NOTA:
Los bloques CIDR de subredes locales no se pueden superponer.
192.168.1.0/24,
192.168.2.0/24
Remote Gateway
La dirección IP pública del gateway en su centro de datos o en la red privada. Esta dirección IP se utiliza para comunicarse con su VPC.
N/A
Remote Subnet
Las subredes de su red local que accederán a una VPC con una VPN. Las subredes remota y local no pueden solaparse entre sÃ. La subred remota no puede superponerse con bloques CIDR involucrados en las existentes interconexiones de VPC, conexiones de Direct Connect o de Cloud Connect creadas para la VPC local.
NOTA:Los bloques CIDR de subredes remotas no se pueden superponer.
192.168.3.0/24,
192.168.4.0/24
PSK
Clave privada compartida por dos extremos de una conexión de VPN para negociación. Las PSK configuradas en ambos extremos de la conexión de VPN deben ser las mismas.
La PSK:
- Contiene de 6 a 128 caracteres.
- Solo puede contener:
- DÃgitos
- Letras
- Caracteres especiales: ~ ` !@ # $ % ^ ( ) - _ + = [ ] { } | \ , . / : ;
Test@123
Confirm PSK
Ingrese la PSK de nuevo.
Test@123
Advanced Settings
- Default: Utilice las polÃticas de IKE y de IPsec predeterminadas.
- Existing: Utilice las polÃticas de IKE y de IPsec existentes.
- Custom: incluye IKE Policy y IPsec Policy que especifica los algoritmos de encriptación y autenticación de un túnel de VPN. Para obtener más información sobre las polÃticas, consulte Tabla 2 y Tabla 3.
Custom
Tabla 2 PolÃtica de IKE Parámetro
Descripción
Valor de ejemplo
Authentication Algorithm
Algoritmo de hash utilizado para la autenticación. Se admiten los siguientes algoritmos:
- MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- SHA2-256
- SHA2-384
- SHA2-512
El algoritmo predeterminado es SHA2-256.
SHA2-256
Encryption Algorithm
Algoritmo de encriptación. Se admiten los siguientes algoritmos:
- AES-128
- AES-192
- AES-256
- 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
El algoritmo predeterminado es AES-128.
AES-128
DH Algorithm
Algoritmo de intercambio de claves Diffie-Hellman. Se admiten los siguientes algoritmos:
- Grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- Grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- Grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- Group 14
- Group 15
- Group 16
- Group 19
- Group 20
- Group 21
El algoritmo predeterminado es Group 14.
Group 14
Version
Versión del protocolo de IKE. El valor puede ser uno de los siguientes:
- v1 (no recomendado debido a riesgos de seguridad)
- v2
El valor predeterminado es v2.
v2
Lifetime (s)
Duración de una SA, en segundos
Una SA se renegociará cuando expire su vida útil.
El valor predeterminado es 86400.
86400
Tabla 3 PolÃtica de IPsec Parámetro
Descripción
Valor de ejemplo
Authentication Algorithm
Algoritmo de hash utilizado para la autenticación. Se admiten los siguientes algoritmos:
- SHA1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- MD5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- SHA2-256
- SHA2-384
- SHA2-512
El algoritmo predeterminado es SHA2-256.
SHA2-256
Encryption Algorithm
Algoritmo de encriptación. Se admiten los siguientes algoritmos:
- AES-128
- AES-192
- AES-256
- 3DES (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
El algoritmo predeterminado es AES-128.
AES-128
PFS
Algoritmo utilizado por la función Perfect forward secrecy (PFS).
PFS admite los siguientes algoritmos:
- DH grupo 1 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- DH grupo 2 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- DH grupo 5 (Este algoritmo es inseguro. Tenga cuidado al usar este algoritmo.)
- DH group 14
- DH group 15
- DH group 16
- DH group 19
- DH group 20
- DH group 21
El algoritmo predeterminado es DH group 14.
DH group 14
Transfer Protocol
Protocolo de seguridad utilizado en IPsec para transmitir y encapsular datos de usuario. Se admiten los siguientes protocolos:
- AH
- ESP
- AH-ESP
El protocolo predeterminado es ESP.
ESP
Lifetime (s)
Duración de una SA, en segundos
Una SA se renegociará cuando expire su vida útil.
El valor predeterminado es 3600.
3600
Una polÃtica de IKE especifica los algoritmos de encriptación y autenticación que se utilizarán en la fase de negociación de un túnel IPsec. Una polÃtica de IPsec especifica el protocolo, el algoritmo de encriptación y el algoritmo de autenticación que se utilizarán en la fase de transmisión de datos de un túnel de IPsec. Las polÃticas de IKE y de IPsec deben ser las mismas en ambos extremos de una conexión de VPN. Si son diferentes, la conexión de VPN no se puede configurar.
No se recomiendan los siguientes algoritmos porque no son lo suficientemente seguros:
- Algoritmos de autenticación: SHA1 y MD5
- Algoritmo de cifrado: 3DES
- Algoritmos de DH: Grupo 1, Grupo 2 y Grupo 5
- Haga clic en Submit.
- Necesita configurar un túnel VPN IPsec en el router o firewall en su centro de datos local.