VPN

了解VPN

VPN：通过建立点对点的IPsec VPN通道，实现企业本地数据中心的私有网络与阿里云端VPN网络进行通信。

Note: 从本地VPC路由器到阿里云端VPN网络，IPsec准备互通的各网络段不可重叠。

IPsec VPN典型应用场景如图 1所示：

ZStack Cloud使用IPsec VPN进行互通的基本流程如下：

在ZStack Cloud混合云主菜单，点击VPN > VPN网关，进入VPN网关界面。

VPN网关支持以下操作：

操作	描述
编辑VPN网关	修改VPN网关的名称和简介。
删除VPN网关	删除所选的VPN网关。 Note: 默认只删除本地记录，不支持删除阿里云上的VPN网关。

在ZStack Cloud混合云主菜单，点击VPN > VPN用户网关，进入VPN用户网关界面，点击创建VPN用户网关，进入创建VPN用户网关界面。

可参考以下示例输入相应内容：

如图 1所示：

在ZStack Cloud混合云主菜单，点击VPN > VPN用户网关，进入VPN用户网关界面。

VPN用户网关支持以下操作：

操作	描述
编辑VPN用户网关	修改VPN用户网关的名称和简介。
创建VPN用户网关	创建一个新的VPN用户网关。
删除VPN用户网关	删除所选的VPN网关。 Note: 默认只删除本地记录，如需同时删除阿里云上的VPN用户网关，请勾选同时删除阿里云上的资源。

在ZStack Cloud混合云主菜单，点击VPN > VPN连接，进入VPN连接界面，点击建立VPN连接，进入建立VPN连接界面。

可参考以下示例输入相应内容：

名称：设置VPN连接名称
简介：可选项，可留空不填
VPC路由器：选择构建阿里云VPN连接所需的VPC路由器，支持多子网，可选择多个三层网络建立VPN连接。
Note: 因创建IPsec VPN连接采用IKEv1版本，若选择VPC路由器的多条三层网络创建VPN连接，本地IPsec隧道只有一条且加载多个子网，阿里云侧将对应多条VPN连接。
私有网络(ZStack)：选择本地路由器挂载的私有网络，支持选择多个三层网络
VPN网关(阿里云)：选择已购买的阿里云VPN网关
用户网关(阿里云)：选择已创建的阿里云用户网关
IKE 预共享密钥：建议设置强度高的密钥
高级设置：默认选项为可连通双边私网的选项，不建议修改
- IKE SA生存周期(秒)：86400（默认）
- IKE 阿里云端IP：已购买的阿里云VPN网关的IP地址（默认自动填充）
- IKE ZStack端IP：已创建的阿里云用户网关的IP地址（默认自动填充）
- IKE 版本：ikev1（默认）
- IKE 协商模式：main（默认）
- IKE 加密算法：3des（默认）
- IKE 认证算法：sha1（默认）
- IKE DH分组：group2（默认）
- IPsec SA生存周期：86400（默认）
- IPsec 加密算法：3des（默认）
- IPsec 认证算法：sha1（默认）
- IPsec DH分组：group2（默认）

如图 1所示：

在ZStack Cloud混合云主菜单，点击VPN > VPN连接，进入VPN连接界面。

VPN连接支持以下操作：

操作	描述
编辑VPN连接	修改VPN连接的名称和简介。
创建VPN连接	创建一个新的VPN连接。
删除VPN连接	删除所选的VPN连接。 Note: 默认只删除本地记录，如需同时删除阿里云上的VPN连接，请勾选同时删除阿里云上的资源。如果IPsec VPN部署过程中发生VPN连接失败，或者两端私网互通验证失败，打算重新配置，仅删除VPN连接是不够的，需全面检查以下资源：本地用于创建IPsec连接的虚拟IP是否已经占用，如果已使用，则需删除此虚拟IP；阿里云VPN连接是否已经存在，如果存在，则需要删除，删除阿里云VPN连接同时需删除远端阿里云资源；阿里云VPN用户网关是否已存在重复的IP，如果存在，则需要删除，删除需同时删除远程阿里云资源； VPC的虚拟路由器下是否存在已经指向ZStack Cloud私有云对应内网的路由条目，如果存在，则需要删除。