- tocdepth
2
Создание VPN-соединения
Войдите в консоль управления Advanced:
В списке сервисов выберите Virtual Private Network.
В меню слева перейдите в раздел Classic.
Переключитесь на вкладку VPN Connections.
Нажмите Create VPN Connection.
Задайте параметры соединения:
Name — введите название VPN-соединения.
VPN Gateway — выберите созданный ранее VPN-шлюз.
Local Subnet — укажите подсеть, которая будет соединена с вашим ЦОД или частной сетью:
Select subnet — выберите подсеть из списка;
Specify CIDR block — укажите одну или несколько подсетей или диапазон IP-адресов.
Remote Gateway — укажите адрес удаленного шлюза.
Remote Subnet — укажите подсеть в вашем ЦОДе или частной сети, которые будут взаимодействовать с VPC по VPN.
Примечание
Удаленная и локальная подсети не могут пересекаться друг с другом. Удаленная подсеть не может пересекаться с CIDR-блоками существующих подключений VPC Peering и Direct Connect, созданных для локального VPC.
PSK (Pre-shared key) и Confirm PSK — введите и подтвердите ключ. Он используется для IKE-согласования между устройствами на обоих сторонах VPN-соединения. Убедитесь, что с обоих сторон используется один и тот же PSK.
Требования к PSK:
6–128 символов;
буквы;
цифры;
специальные символы:
~,!,@,#,$,%,^,(,),-,_,+,=,{,},,,.,/,:,;.
Advanced Setting — настройки протокола шифрования данных IKE и политики шифрования IPsec:
Default — оставить настройки по умолчанию;
Custom — настроить политики шифрования данных вручную.
Если вы выбрали вкладку Custom, задайте дополнительные параметры.
Параметры в блоке IKE Policy:
Authentication Algorithm — выберите алгоритм авторизации: SHA1, SHA2-256, SHA2-384, SHA2-512 или MD5.
Encryption Algorithm — укажите алгоритм шифрования: AES-128, AES-192, AES-256 или 3DES.
Примечание
Не рекомендуется использовать алгоритм 3DES, потому что он недостаточно надежен для защиты данных.
DH Algorithm — выберите алгоритм обмена ключом шифрования. Алгоритм используется на двух сторонах VPN-соединения и должен быть одинаковым.
Version — выберите версию протокола IKE.
Lifecycle — укажите величину жизненного цикла ключа в секундах. Ассоциация безопасности (Security Association) будет пересмотрена, если ее жизненный цикл истечет. Значение по умолчанию — 86400.
Negotiation Mode — при выборе версии 1 в поле Version можно указать режим согласования — Main или Aggressive. Значение по умолчанию — Main.
Параметры в блоке IPsec Policy:
Authentication Algorithm — выберите алгоритм авторизации: SHA1, SHA2-256, SHA2-384, SHA2-512 или MD5.
Encryption Algorithm — укажите алгоритм шифрования: AES-128, AES-192, AES-256 или 3DES.
Примечание
Не рекомендуется использовать алгоритм 3DES, потому что он недостаточно надежен для защиты данных.
- PFS — совершенно прямая секретность (Perfect Forward Secrecy).
Используется для согласования туннеля IPsec.
Transfer Protocol — выберите протокол безопасности, используемый для передачи и инкапсуляции пользовательских данных: AH, ESP или AH-ESP.
Lifecycle — укажите величину жизненного цикла ключа в секундах. Ассоциация безопасности (Security Association) будет пересмотрена, если ее жизненный цикл истечет. Значение по умолчанию — 3 600.
Нажмите Create Now.
VPN-соединение создано.
Пример конфигурации оборудования On-prem для настройки VPN-соединения с облаком Advanced
crypto ikev2 proposal aes-cbc-128-proposal
encryption aes-cbc-128
integrity sha256
group 14
!
crypto ikev2 policy policy1
match address local «local address»
proposal aes-cbc-128-proposal
!
crypto ikev2 keyring cloud
peer cloud
address «remote address»
pre-shared-key local XXXXX
pre-shared-key remote XXXXX
!
crypto ikev2 profile profile1
match address local «local address»
match identity remote address «remote address» 255.255.255.255
match identity remote key-id ESP-AES-SHA
authentication remote pre-share
authentication local pre-share
keyring local cloud
!
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha256-hmac
mode transport
!
crypto map cmap 1 ipsec-isakmp
set peer «remote address»
set transform-set ESP-AES-SHA
set pfs group14
set ikev2-profile profile1
match address CLOUD
!
Ip access-list extended CLOUD
10 permit ip host XX.XX.XX.XX XX.XX.XX.XX 0.0.255.255
!
interface GigabitEthernet0/0/0
crypto map cmap
для Dev & Test