tocdepth

2

Создание VPN-соединения

  1. Войдите в консоль управления Advanced:

  2. Чтобы открыть список сервисов, нажмите Service List.

  3. Выберите Network → Virtual Private Network.

  4. Нажмите Create VPN Connection.

  5. Задайте параметры соединения:

    • Name — введите название VPN-соединения.

    • VPN Gateway — выберите созданный ранее VPN-шлюз.

    • Local Subnet — укажите подсеть, которая будет соединена с вашим ЦОД или частной сетью:

      • Select subnet — выберите подсеть из списка;

      • Specify CIDR block — укажите одну или несколько подсетей или диапазон IP-адресов.

    • Remote Gateway — укажите адрес удаленного шлюза.

    • Remote Subnet — укажите подсеть в вашем ЦОДе или частной сети, которые будут взаимодействовать с VPC по VPN.

      Примечание

      Удаленная и локальная подсети не могут пересекаться друг с другом. Удаленная подсеть не может пересекаться с CIDR-блоками существующих подключений VPC Peering и Direct Connect, созданных для локального VPC.

    • PSK (Pre-shared key) и Confirm PSK — введите и подтвердите ключ. Он используется для IKE-согласования между устройствами на обоих сторонах VPN-соединения. Убедитесь, что с обоих сторон используется один и тот же PSK.

      Требования к PSK:

      • 6–128 символов;

      • буквы;

      • цифры;

      • специальные символы: ~, !, @, #, $, %, ^, (, ), -, _, +, =, {, }, ,, ., /, :, ;.

    • Advanced Setting — настройки протокола шифрования данных IKE и политики шифрования IPsec:

      • Default — оставить настройки по умолчанию;

      • Custom — настроить политики шифрования данных вручную.

  6. Если вы выбрали вкладку Custom, задайте дополнительные параметры.

    Параметры в блоке IKE Policy:

    • Authentication Algorithm — выберите алгоритм авторизации: SHA1, SHA2-256, SHA2-384, SHA2-512 или MD5.

    • Encryption Algorithm — укажите алгоритм шифрования: AES-128, AES-192, AES-256 или 3DES.

      Примечание

      Не рекомендуется использовать алгоритм 3DES, потому что он недостаточно надежен для защиты данных.

    • DH Algorithm — выберите алгоритм обмена ключом шифрования. Алгоритм используется на двух сторонах VPN-соединения и должен быть одинаковым.

    • Version — выберите версию протокола IKE.

    • Lifecycle — укажите величину жизненного цикла ключа в секундах. Ассоциация безопасности (Security Association) будет пересмотрена, если ее жизненный цикл истечет. Значение по умолчанию — 86400.

    • Negotiation Mode — при выборе версии 1 в поле Version можно указать режим согласования — Main или Aggressive. Значение по умолчанию — Main.

    Параметры в блоке IPsec Policy:

    • Authentication Algorithm — выберите алгоритм авторизации: SHA1, SHA2-256, SHA2-384, SHA2-512 или MD5.

    • Encryption Algorithm — укажите алгоритм шифрования: AES-128, AES-192, AES-256 или 3DES.

      Примечание

      Не рекомендуется использовать алгоритм 3DES, потому что он недостаточно надежен для защиты данных.

    • PFS — совершенно прямая секретность (Perfect Forward Secrecy).

      Используется для согласования туннеля IPsec.

    • Transfer Protocol — выберите протокол безопасности, используемый для передачи и инкапсуляции пользовательских данных: AH, ESP или AH-ESP.

    • Lifecycle — укажите величину жизненного цикла ключа в секундах. Ассоциация безопасности (Security Association) будет пересмотрена, если ее жизненный цикл истечет. Значение по умолчанию — 3 600.

  7. Нажмите Create Now.

VPN-соединение создано.

Пример конфигурации оборудования On-prem для настройки VPN-соединения с облаком Advanced

crypto ikev2 proposal aes-cbc-128-proposal
   encryption aes-cbc-128
integrity sha256
group 14
!
crypto ikev2 policy policy1
   match address local «local address»
proposal aes-cbc-128-proposal
!
crypto ikev2 keyring cloud
peer cloud
   address «remote address»
   pre-shared-key local XXXXX
   pre-shared-key remote XXXXX
!
crypto ikev2 profile profile1
match address local «local address»
match identity remote address «remote address» 255.255.255.255
match identity remote key-id ESP-AES-SHA
authentication remote pre-share
authentication local pre-share
keyring local cloud
!
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha256-hmac
mode transport
!
crypto map cmap 1 ipsec-isakmp
   set peer «remote address»
set transform-set ESP-AES-SHA
   set pfs group14
set ikev2-profile profile1
match address CLOUD
!
Ip access-list extended CLOUD
   10 permit ip host XX.XX.XX.XX XX.XX.XX.XX 0.0.255.255
!
interface GigabitEthernet0/0/0
crypto map cmap
Запустили Evolution free tier
для Dev & Test
Получить