管理隧道规则
当您需要通过隧道建立 VPC 与数据中心或 VPC 之间的网络连接时,您需要在隧道两端分别配置隧道规则,建立加密通信通道。本文介绍如何在 VPC 端配置及管理隧道规则。
前提条件
添加隧道规则
-
登录管理控制台,选择产品与服务 > 网络 > VPC 网络,进入 VPC 列表页面。
-
在 VPC 列表,找到您需要进行隧道配置的 VPC 网络,点击 VPC 网络名称,进入详情页。
-
切换至管理配置页签,然后点击隧道服务 > 添加隧道规则。
-
根据界面提示,配置隧道参数。
隧道协议可选
GRE
及IPsec
,不同协议,配置参数不同。-
配置 GRE 隧道,请参见 GRE 隧道参数说明。
-
配置 IPsec 隧道,请参见 IPsec 隧道参数说明。
-
-
点击提交进行保存,返回隧道服务页面,可看到已添加的隧道规则。
GRE 隧道参数
参数 | 说明 |
---|---|
名称 |
隧道名称。 |
远端路由器 |
对端网络网关设备的公网 IP 地址或域名。 |
协议 |
隧道协议。 |
密钥(可选) |
隧道两端共同约定的整型数字,用于隧道连接的身份认证。 |
本地点对点 IP |
隧道在本端的 IP 地址。
|
对端点对点 IP |
隧道在对端的 IP 地址。 |
目标网络 |
需要与当前 VPC 通信的对端网络的私网网段。 |
IPsec 隧道参数
参数 | 说明 | ||
---|---|---|---|
名称 |
隧道名称。 |
||
远端路由器 |
对端网络网关设备的公网 IP 地址或域名。 |
||
协议 |
隧道协议。 |
||
远端设备 ID(可选) |
用于标识远端设备。 |
||
密钥(可选) |
隧道两端共同约定的任意字符串,用于隧道连接的身份认证。 |
||
加密方法 |
选择数据加密算法、认证算法及 DH 分组。 |
||
隧道模式 |
选择协商模式。
|
||
开启 PFS |
选择是否 PFS(Perfect Forward Secrecy,全前向保密)。 |
||
IKE 版本 |
选择 IKE 协议的版本。
相对于 IKEv1 版本,IKEv2 版本简化了 SA 的协商过程并且对于多网段的场景提供了更好的支持,也更加安全,建议选择 IKEv2 版本。 |
||
本地网络 |
需要和对端互通的 VPC 侧的私有网络网段。 |
||
目标网络 |
需要和 VPC 互通的对端私网网段。
|
||
健康检查 IP |
用于健康检查的目标地址。 |
||
健康检查源 IP |
用于健康检查的源地址。
|
复制隧道规则
您可以将已添加的隧道规则复制到其他区域进行应用。
-
在 VPC 列表,找到想要复制隧道规则的源 VPC 网络,点击 VPC 网络名称,进入详情页。
-
切换至管理配置页签,然后点击隧道服务 > 复制隧道规则,弹出复制隧道规则窗口。
-
点击选择隧道规则,在弹出的窗口中勾选您需要复制的源规则(可多选),然后点击提交。
-
选择目标 VPC 所在区域及具体 VPC。
-
点击复制。
复制成功后,即可在目标 VPC 下查看到同样的隧道规则。
说明 您需要在目标 VPC 的详情页,点击应用修改,规则才会生效。
修改隧道规则
您可以修改已经添加的隧道规则。
-
在 VPC 列表,点击 VPC 网络名称,进入详情页。
-
切换至管理配置页签,然后点击隧道服务 ,进入隧道服务页面。
-
将鼠标移到需要禁用或启用的隧道规则上,然后点击修改,弹出修改隧道属性窗口。
-
修改隧道属性值,点击提交。
此处不可修改目标网络及本地网络(IPsec 隧道)。
可通过以下方式修改:
-
GRE 隧道:点击目标网络之后的展开,然后可添加、修改或删除目标网络。
-
IPsec 隧道:点击感兴趣流之后的展开,然后可添加感兴趣流组,以及添加、修改、删除本地网络及目标网络。
-
-
点击应用修改,更新 VPC 网络。
禁用/启用隧道规则
您可以将暂时不需要的隧道规则禁用,等待需要时重新启用即可。
-
在 VPC 列表,点击 VPC 网络名称,进入详情页。
-
切换至管理配置页签,然后点击隧道服务 ,进入隧道服务页面。
-
将鼠标移到需要禁用或启用的隧道规则上,然后点击禁用/启用,弹出确认提示框。
-
点击确认,禁用/启用该隧道规则。
说明 禁用后,隧道规则失效。
-
点击应用修改,更新 VPC 网络。
删除隧道规则
您可以删除不再使用的隧道规则。删除后不可恢复。
-
在 VPC 列表,点击 VPC 网络名称,进入详情页。
-
切换至管理配置页签,然后点击隧道服务 ,进入隧道服务页面。
-
将鼠标移到需要删除的隧道规则上,然后点击删除,弹出确认提示框。
-
点击确认,删除该隧道规则。
-
点击应用修改,更新 VPC 网络。