金融云VPN接入标准
亲爱的用户您好,首先感谢您选择金融云环境,为了能顺利完成金融云VPN接入配置,现向您介绍金融云VPN接入标准,请按照以下方式配置VPN:
1. 首先您要在金融云工单系统中提交您的VPN申请表格,填写您用于建立IPSEC-VPN的公网IP地址、网络工程师联系方式,包括姓名、手机和邮件地址。
2. 然后,阿里云会分配给您前置机IP,这个前置机IP是用来访问您在云上ECS和SLB的源地址,也就是说,当您要从机构一侧访问云上资源时,把您机构一侧的内网IP通过您防火墙的“源IP地址NAT功能”转换为这个IP地址,转换之后,才能访问云上资源。前置机IP是当您在金融云工单系统提交工单后,由网工同学统一分配给您的,并且回复给您一份VPN参数配置文档。
3. 在得到前置机IP之后,请您安装以下标准配置IPSEC-VPN的参数,以保证VPN建立:
Share secret : IKE1阶段对等体验证密钥会在上述工单回复文档中给出
Phase1配置:
| 参数名称 | 取值 | 说明 |
| authentication-method | pre-shared-keys | IKE1阶段对等体验证PSK方式 |
| encryption-algorithm | aes-128-cbc | IKE1阶段加密算法AES-128 |
| authentication-algorithm | sha1 | IKE1阶段数据完整性验证算法SHA-1 |
| dh-group | group 5 | IKE1阶段密钥协商算法DH-group5 |
| IKE lifetime-seconds | 43200s | IKE1阶段SA生存期43200秒 |
Phase2配置:
| 参数名称 | 取值 | 说明 |
| encryption-algorithm | aes-128-cbc | IKE2阶段加密算法AES-128 |
| authentication-algorithm | hmac-sha1-96 | IKE2阶段数据完整性算法SHA-1 |
| perfect-forward-secrecy | group5 | IKE2阶段密钥协商算法DH-group5 |
| lifetime-seconds | 5400s | KE2阶段SA生存期5400秒 |
4. 与此同时,您还要配置您机构一侧的防火墙,允许加密流量通过并设置路由策略,将加密流量引导到IPSEC-VPN隧道上
5. 阿里云的IPSEC-VPN对接设备采用世界顶级品牌防火墙,保证数据接入安全性,公网接入线路采用和国内运营商平级的BGP线路,由于VPN流量要穿过各个省市运营商传递,因此VPN链路的稳定很大程度取决于internet质量,针对对于链路稳定有较高要求的客户,我们推荐您迁移到专线环境,以保障您的网络访问质量
6. 针对IPSEC-VPN已经配置,但机构访问云上资源不通的情况,请先查看IKE1阶段和IKE2阶段是否已经起来,并查看路由表,确定加密流量指向IPSEC-VPN隧道上;之后请查看ECS主机云盾配置,确定放开了来自前置机IP的访问;针对云主机访问机构不通的情况,请查看您的防火墙配置,是否允许云主机IP访问您机构侧主机
展开
收起
3
条回答
写回答
写回答
-
Re金融云VPN接入标准深圳金融云什么时候能支持VPN接入?自己在ECS中搭建IPSec可靠性、经济性都不好。2015-11-10 10:00:39赞同 展开评论 打赏 -
Re金融云VPN接入标准如果没有公网IP地址,是否可以使用金融云IPSEC-VPN ?-------------------------
Re金融云VPN接入标准只要一台服务与阿里对端建立IPSEC-VPN2015-07-30 15:07:47赞同 展开评论 打赏 -
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
