当您需要通过隧道建立 VPC 与数据中心或 VPC 之间的网络连接时,您需要在隧道两端分别配置隧道规则,建立加密通信通道。本文介绍如何在 VPC 端配置及管理隧道规则。

前提条件

添加隧道规则

  1. 登录管理控制台,选择产品与服务 > 网络 > VPC 网络,进入 VPC 列表页面。

  2. 在 VPC 列表,找到您需要进行隧道配置的 VPC 网络,点击 VPC 网络名称,进入详情页。

  3. 切换至管理配置页签,然后点击隧道服务 > 添加隧道规则

    tunnel service
  4. 根据界面提示,配置隧道参数。

    add tunnel rule

    隧道协议可选 GREIPsec,不同协议,配置参数不同。

  5. 点击提交进行保存,返回隧道服务页面,可看到已添加的隧道规则。

GRE 隧道参数

参数 说明

名称

隧道名称。
按需自定义。

远端路由器

对端网络网关设备的公网 IP 地址或域名。
对端网络可以是您本地数据中心、本地办公网络或云平台上其他 VPC 网络。
如果对端网络为同一区域下的 VPC, 此处可填写对端 VPC 的 ID,实现内网互联。其他情况下,则必须填写对端网络合法的公网 IP 或域名。

协议

隧道协议。
配置 GRE 隧道选择 GRE

密钥(可选)

隧道两端共同约定的整型数字,用于隧道连接的身份认证。
本端与对端配置的密钥需要一致。
有效范围为 [1, 2^32 -1]。

本地点对点 IP

隧道在本端的 IP 地址。

  • 不同隧道的点对点地址网段必须唯一,不能重复。

  • 本端与对端 IP 需在同一网段。

对端点对点 IP

隧道在对端的 IP 地址。

目标网络

需要与当前 VPC 通信的对端网络的私网网段。
可添加多个目标网络。目标网络不能和 VPC 网络已有的私有网络重复。

IPsec 隧道参数

参数 说明

名称

隧道名称。
按需自定义。

远端路由器

对端网络网关设备的公网 IP 地址或域名。
对端网络可以是您本地数据中心、本地办公网络或云平台上其他 VPC 网络。
如果对端网络为同一区域下的 VPC, 此处可填写对端 VPC 的 ID,实现内网互联。其他情况下,需填写对端网络合法的公网 IP 或域名。如果对端没有固定 IP,可填 0.0.0.0。

协议

隧道协议。
配置 IPsec 隧道选择 IPsec

远端设备 ID(可选)

用于标识远端设备。
勾选匹配任意 ID 表示随机生成一个 ID。
若不填写,则其值与远端路由器 IP 相同。

密钥(可选)

隧道两端共同约定的任意字符串,用于隧道连接的身份认证。
本端与对端配置的密钥需要一致。

加密方法

选择数据加密算法、认证算法及 DH 分组。

隧道模式

选择协商模式。

  • 主模式:协商过程安全性高。

  • 野蛮模式:协商快速且协商成功率高,但安全性较低,易受到拒绝服务和暴力攻击。

开启 PFS

选择是否 PFS(Perfect Forward Secrecy,全前向保密)。
开启后,安全性更好。

IKE 版本

选择 IKE 协议的版本。

  • IKEv2 Only:使用 IKEv2。

  • IKEv1 Only:使用 IKEv1

  • 自动匹配:系统自动匹配。

相对于 IKEv1 版本,IKEv2 版本简化了 SA 的协商过程并且对于多网段的场景提供了更好的支持,也更加安全,建议选择 IKEv2 版本。

本地网络

需要和对端互通的 VPC 侧的私有网络网段。
点击添加更多本地网络,可添加多个需要和对端互通的 VPC 私有网络。

目标网络

需要和 VPC 互通的对端私网网段。
点击添加更多目标网络,可添加多个需要和 VPC 互通的对端私有网段。

注意

目标网络不能和 VPC 网络已有的私有网络重复。

健康检查 IP

用于健康检查的目标地址。
该地址必须在目标网络中且可以 ping 通。
可配置多个,也可不配置。不配置,表示不启用健康检查。

健康检查源 IP

用于健康检查的源地址。

  • 关闭:若未配置健康检查 IP,则选择关闭。

  • 开启:若配置了健康检查 IP,则需要开启。源 IP 为系统指定,不能手动配置。

说明

若开启,需要将健康检查源 IP 配置到隧道目标感兴趣流,否则可能会导致隧道网络不通。

复制隧道规则

您可以将已添加的隧道规则复制到其他区域进行应用。

  1. 在 VPC 列表,找到想要复制隧道规则的源 VPC 网络,点击 VPC 网络名称,进入详情页。

  2. 切换至管理配置页签,然后点击隧道服务 > 复制隧道规则,弹出复制隧道规则窗口。

    copy tunnel rule 1
  3. 点击选择隧道规则,在弹出的窗口中勾选您需要复制的源规则(可多选),然后点击提交

    copy tunnel rule 2
  4. 选择目标 VPC 所在区域及具体 VPC。

  5. 点击复制

    复制成功后,即可在目标 VPC 下查看到同样的隧道规则。

    说明

    您需要在目标 VPC 的详情页,点击应用修改,规则才会生效。

修改隧道规则

您可以修改已经添加的隧道规则。

  1. 在 VPC 列表,点击 VPC 网络名称,进入详情页。

  2. 切换至管理配置页签,然后点击隧道服务 ,进入隧道服务页面。

  3. 将鼠标移到需要禁用或启用的隧道规则上,然后点击修改,弹出修改隧道属性窗口。

    modify tunnel
  4. 修改隧道属性值,点击提交

    此处不可修改目标网络及本地网络(IPsec 隧道)。

    可通过以下方式修改:

    • GRE 隧道:点击目标网络之后的展开,然后可添加、修改或删除目标网络。

      mdfy gre tunnel des net
    • IPsec 隧道:点击感兴趣流之后的展开,然后可添加感兴趣流组,以及添加、修改、删除本地网络及目标网络。

      mdfy ipsec tunnel des net
  5. 点击应用修改,更新 VPC 网络。

禁用/启用隧道规则

您可以将暂时不需要的隧道规则禁用,等待需要时重新启用即可。

  1. 在 VPC 列表,点击 VPC 网络名称,进入详情页。

  2. 切换至管理配置页签,然后点击隧道服务 ,进入隧道服务页面。

  3. 将鼠标移到需要禁用或启用的隧道规则上,然后点击禁用/启用,弹出确认提示框。

    disable tunnel
  4. 点击确认,禁用/启用该隧道规则。

    说明

    禁用后,隧道规则失效。

  5. 点击应用修改,更新 VPC 网络。

删除隧道规则

您可以删除不再使用的隧道规则。删除后不可恢复。

  1. 在 VPC 列表,点击 VPC 网络名称,进入详情页。

  2. 切换至管理配置页签,然后点击隧道服务 ,进入隧道服务页面。

  3. 将鼠标移到需要删除的隧道规则上,然后点击删除,弹出确认提示框。

    delete tunnel
  4. 点击确认,删除该隧道规则。

  5. 点击应用修改,更新 VPC 网络。