开发者社区> 问答> 正文

金融云VPN接入标准


亲爱的用户您好,首先感谢您选择金融云环境,为了能顺利完成金融云VPN接入配置,现向您介绍金融云VPN接入标准,请按照以下方式配置VPN:


1. 首先您要在金融云工单系统中提交您的VPN申请表格,填写您用于建立IPSEC-VPN的公网IP地址、网络工程师联系方式,包括姓名、手机和邮件地址。

2. 然后,阿里云会分配给您前置机IP,这个前置机IP是用来访问您在云上ECS和SLB的源地址,也就是说,当您要从机构一侧访问云上资源时,把您机构一侧的内网IP通过您防火墙的“源IP地址NAT功能”转换为这个IP地址,转换之后,才能访问云上资源。前置机IP是当您在金融云工单系统提交工单后,由网工同学统一分配给您的,并且回复给您一份VPN参数配置文档。

3. 在得到前置机IP之后,请您安装以下标准配置IPSEC-VPN的参数,以保证VPN建立:

Share secret : IKE1阶段对等体验证密钥会在上述工单回复文档中给出
Phase1配置:

参数名称 取值 说明
authentication-method pre-shared-keys IKE1阶段对等体验证PSK方式
encryption-algorithm aes-128-cbc IKE1阶段加密算法AES-128
authentication-algorithm sha1 IKE1阶段数据完整性验证算法SHA-1  
dh-group group 5 IKE1阶段密钥协商算法DH-group5
IKE lifetime-seconds 43200s IKE1阶段SA生存期43200秒      

Phase2配置:
参数名称 取值 说明
encryption-algorithm aes-128-cbc IKE2阶段加密算法AES-128
authentication-algorithm hmac-sha1-96 IKE2阶段数据完整性算法SHA-1
perfect-forward-secrecy group5 IKE2阶段密钥协商算法DH-group5
lifetime-seconds 5400s KE2阶段SA生存期5400秒


4. 与此同时,您还要配置您机构一侧的防火墙,允许加密流量通过并设置路由策略,将加密流量引导到IPSEC-VPN隧道上


5. 阿里云的IPSEC-VPN对接设备采用世界顶级品牌防火墙,保证数据接入安全性,公网接入线路采用和国内运营商平级的BGP线路,由于VPN流量要穿过各个省市运营商传递,因此VPN链路的稳定很大程度取决于internet质量,针对对于链路稳定有较高要求的客户,我们推荐您迁移到专线环境,以保障您的网络访问质量


6. 针对IPSEC-VPN已经配置,但机构访问云上资源不通的情况,请先查看IKE1阶段和IKE2阶段是否已经起来,并查看路由表,确定加密流量指向IPSEC-VPN隧道上;之后请查看ECS主机云盾配置,确定放开了来自前置机IP的访问;针对云主机访问机构不通的情况,请查看您的防火墙配置,是否允许云主机IP访问您机构侧主机

展开
收起
飞飞helen 2014-09-25 10:39:55 14157 0
3 条回答
写回答
取消 提交回答
  • Re金融云VPN接入标准
    深圳金融云什么时候能支持VPN接入?自己在ECS中搭建IPSec可靠性、经济性都不好。
    2015-11-10 10:00:39
    赞同 展开评论 打赏
  • Re金融云VPN接入标准
    如果没有公网IP地址,是否可以使用金融云IPSEC-VPN ?

    -------------------------

    Re金融云VPN接入标准
    只要一台服务与阿里对端建立IPSEC-VPN
    2015-07-30 15:07:47
    赞同 展开评论 打赏
  • Re金融云VPN接入标准
    2014-11-01 12:55:22
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
中小企业上云多地域办公组网(SAG)解决方案v1.2 立即下载
让租户安全快速上云,让云服务商业务增值-构建开放、跨云的云安全平台 立即下载
《构建企业私网连接新生态》 立即下载