文档中心

VPN 连接是一种通过公网加密通道连接您的IDC和私有网络的方式。

操作流程

VPC-IPsec VPN 实例可以在控制台实现全自助配置，您需要完成以下几步才能实现使 VPN 连接生效：

创建VPN网关

1. 在私有网络VPC控制台左侧导航栏选择VPN网关，进入VPN网关实例列表。

   说明：

   • 如果您需要在非默认VPC中创建 VPN 网关，首先需要在该VPC中创建一个子网，详情请参考创建子网。
   • 每个VPC最多支持创建3个 VPN 网关 ，如果您需要创建更多VPN网关，可以提交工单申请。

2. 导航栏选择"VPN 网关"，点击"创建VPN网关"按键。

3. 填写下列配置信息：

   配置项	说明
   当前地域	支持华北-北京、保定，华南-广州，华东-上海、苏州，华中-武汉，香港及新加坡，通过左上角区域进行切换。其中北京,广州,上海,苏州,武汉支持VPN增强型。
   所在网络	VPN 所属的私有网络(VPC) 。
   VPN 网关名称	用户自定义 VPN 网关名称。
   VPN 网关规格	用户选择VPN网关支持的最大转发能力，普通型VPN网关，最大转发能力200Mbps；增强型VPN网关，最大转发能力1000Mbps。
   VPN 描述	该 VPN 网关的描述信息。
   VPN 公网带宽	用户绑定的公网EIP 。

4. 选择购买时长，点击"下一步"。
5. 确认订单详细，进行支付后，VPN 网关创建完成。

创建VPN隧道

1. 在 VPN 网关列表页，选择 VPN 网关，点击“隧道数量”下面的箭头出现VPN隧道列表。

   

   说明： 每个VPN网关最多支持10条VPN隧道，如果您需要创建更多VPN隧道，可以提交工单申请。

2. 点击 "创建VPN隧道"，输入下列配置信息：

   基本配置

   配置项	说明
   所在私有网络	VPN 所属的私有网络(VPC)。
   VPN隧道名称	用户自定义VPN隧道名称。
   共享密钥	共享密钥是用于验证 IPSec 连接的 Unicode 字符串，本端和对端必须使用相同的预共享密钥。
   本端VPN网关公网IP	本端VPN 网关用于公网加密通信的公网IP/带宽。 如VPN网关选择增强型，则本端使用的公网IP/带宽购买需参考弹性公网IP EIP的购买带宽限制细则，详见。
   本端网络	百度智能云VPC中需要进入VPN隧道的子网。
   对端VPN网关公网IP	对端网关是指 IDC 机房的 IPsec VPN 服务网关，对端网关需与百度智能云 VPN 网关配合使用。
   对端网络	对端需要通过VPN隧道连通的网段。
   描述	该 VPN 隧道的描述信息。

   高级配置：IKE配置

   配置项	说明
   版本	选择IKE协议的版本。目前支持IKE V1和IKE V2。
   协商模式	选择IKE V1版本的协商模式。 - 主模式（main）：协商过程安全性高。 - 野蛮模式（aggressive）：协商快速且协商成功率高。 协商成功后两种模式的信息传输安全性相同。
   加密算法	选择第一阶段协商使用的加密算法。支持aes、aes192、aes256和3des。
   认证算法	第一阶段协商使用的认证算法。支持sha1、md5、sha2_256、sha2_384和sha2_512。
   本端标识	支持 IP address 和 FQDN（全称域名），“本端标识”与隧道对端配置的“远端标识”需一致。
   远端标识	支持 IP address 和 FQDN（全称域名），“远端标识”与隧道对端配置的“本端标识”需一致。
   DH分组	选择第一阶段协商的Diffie-Hellman密钥交换算法。
   SA生存周期（秒）	设置第一阶段协商出的SA的生存周期。默认值为28800秒。

   高级配置：IPSec配置

   配置项	说明
   加密算法	选择第二阶段协商的加密算法。支持aes、aes192、aes256和3des。
   认证算法	选择第二阶段协商的认证算法。支持sha1、md5、sha2_256、sha2_384和sha2_512。
   DH分组	选择第二阶段协商的Diffie-Hellman密钥交换算法。
   SA生存周期（秒）	设置第二阶段协商出的SA的生存周期。默认值为28800秒。

创建用户端VPN网关及参数

用户端网关（对端网关）是指用户机房的 IPsec VPN 服务网关，对端网关需与百度智能云 VPN 网关配合使用，配置时参见VPN隧道高级配置。

说明： 本地IDC的VPN网关设备应开启NAT穿越。

至此，VPN 成功接入。

为VPN配置路由表

VPN连接成功后，您需要在VPN隧道两端分别配置路由表，实现云环境和用户侧网络的流量互通。在百度智能云中配置路由表的步骤如下：

1. 导航栏选择“路由表”，在路由表列表中，点击“添加路由”。

2. 输入与访问用户侧网络所关联的路由表。

   • 源网段
   • 输入目标网段
   • 路由类型，选择“VPN网关”
   • 下一跳实例，选择已创建的 VPN 网关
3. 点击“确定”，完成路由表配置，关联此路由表子网内的BCC访问用户侧网络时流量将指向该VPN网关。

VPN网关网络地址转换（NAT）配置

网络地址转换(NAT)是混合云场景IP地址冲突问题的一种解决方案。VPN网关支持云端静态NAT、IDC端静态NAT、IDC端DNAT和云端DNAT四种转换规则，可解决VPN网关的IP地址冲突问题，隐藏IP地址实现安全要求。

以下示意图中的本端指的是云上私有网络，对端指的是用户IDC端。

说明：

• 仅可用状态下的VPN网关才可添加NAT规则。
• 目前VPN网关支持NAT功能处于公测阶段，若需使用请提工单申请。

云端静态NAT

• 云端（本端）IP 转换：指私有网络内原IP映射为新IP，并以新IP身份与VPN对端互访。
• 云端（本端）IP 转换不限制网络请求的方向，可以是私有网络主动访问VPN对端，也可以是VPN对端主动访问私有网络。

IDC端静态NAT

• IDC端（对端）静态NAT指用户IDC 内原IP映射为新IP，并以新 IP 身份与私有网络内IP互访。
• IDC端（对端）静态NAT的转换不限制网络请求的方向，可以是私有网络主动访问VPN对端，也支持VPN对端主动访问私有网络。

IDC端DNAT

IDC端DNAT即本端目的 IP 端口转换是IDC侧主动访问私有网络的一种方法，将私有网络内指定 IP 的指定端口映射为新的 IP 和端口，IDC侧则只可以通过访问映射后 IP 端口来与私有网络内指定 IP 端口通信，其他 IP 端口则不对IDC端暴露。

云端DNAT

云端DNAT将IDC内（对端）指定 IP端口映射为新IP端口，VPC侧只可以通过访问映射后 IP 端口来与IDC内指定 IP 端口通信。

查看监控数据

VPN网关监控

1. 登录管理控制台，选择"产品服务 >私有网络VPC"，在左侧导航栏选择VPN网关，进入VPN网关实例列表。
2. 选择实例后面的"监控"，页面右侧出现监控浮窗。
3. 点击"查看更多"，进入实例详情页面的监控。
4. 在监控页面点击“报警详情”进入报警策略配置页面，可以管理VPN网关的报警策略，详细操作步骤请见BCM管理报警。

VPN隧道监控

1. 登录管理控制台，选择"产品服务 >私有网络VPC"，在左侧导航栏选择VPN网关，进入VPN网关实例列表。
2. 在已创建的VPN网关实例列表中，点击“隧道数量”下面的箭头出现VPN隧道列表。
3. 选择VPN隧道后面的"监控"，出现查看监控数据弹窗。
4. 在列表操作中点击“报警详情”进入报警策略配置页面，可以管理VPN隧道的报警策略，详细操作步骤请见BCM管理报警。