欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 31921|回复: 4

[产品使用] 私有网络的基本操作

[复制链接]

427

主题

85

好友

5488

积分

资深攻城师[LV4]

Rank: 4

云币
1869
威望
5488
发表于 2015-4-24 17:59:15 |显示全部楼层 |未分类

私有网络的基本操作



1 私有网络

1.1 创建私有网络

您可以在控制台创建您的私有网络。
si**luocaozuo-1.jpg



1)点击私有网络
2)选择地域
3)点击“添加私有网络”
4)输入VPC名称
5)输入VPC的CIDR网段
6)输入初始子网名称
7)输入初始子网络的CIDR网段
8)选择子网内云服务器所在可用区
点击“创建”即可完成私有网络的创建。私有网络创建之后无法更改容量大小,一旦IP全部占用则无法继续在私有网络内添加其他业务,我们建议您创建时为私有网络和子网留出足够的IP以减少不必要的困难。
创建完成后,自动进入私有网络控制台主页,如下图所示。
si**luocaozuo-2.jpg



1.2 编辑

私有网络创建后,可以对用户自定义名称进行调整,调整方法如下:
si**luocaozuo-3.jpg



双击希望修改的私有网络名称进入编辑态,输入自定义名称后点击其他位置即可完成名称编辑。


1.3 删除

删除私有网络前需先删除私有网络内的子网及VPN网关,否则无法删除操作。
si**luocaozuo-4.jpg



完整的删除VPC需要遵循以下流程:
si**luocaozuo-5.jpg




2 子网

私有网络及初始子网创建完成后,您可以在控制台完成其他子网的创建及编辑。



2.1 创建子网

si**luocaozuo-6.jpg



在控制台右上方点击“添加子网”,弹出创建子网的弹窗浮层
si**luocaozuo-7.jpg


您可以在弹窗中设置子网的名称、CIDR网段、可用区和关联的路由表,也可以通过点击“新增加一行”,同时创建多个子网。
点击确认即可完成新增子网的创建,如下图所示
si**luocaozuo-8.jpg


子网与所关联的路由表以高亮线的方式连接,当鼠标指向子网时,对应的路由表高亮;当鼠标指向路由表时,与此路由表关联的所有子网高亮。
位于不同可用区的子网将显示不同的颜色,具体对应与右上角颜色示例为准。



2.2 编辑子网信息

控制台中点击子网方框可展开子网的详细信息,点击详细信息右上角的“编辑”即可修改子网信息
si**luocaozuo-9.jpg



si**luocaozuo-10.jpg


用户可以修改子网的名称,当私有网络有多个路由表时,用户还以选择更换子网关联的路由表,修改好后点击确认即可完成修改。



2.3 添加云主机

在子网的详细属性中,点击“添加云主机”可以向该子网内添加云服务器。在添加云主机前,请确认您子网空间大小及剩余IP个数,您无法向子网中添加超出剩余IP个数的云主机。
si**luocaozuo-11.jpg



点击“添加云主机”后,页面即跳转至云主机购买和选购页。当然,您也可以选择先登录腾讯云官网,然后在云主机购买页直接向子网中添加云主机。
购买页中,网络选择用户创建的私有网络,具体如下图所示:
si**luocaozuo-12.jpg


1)选择云主机的地域和可用区
2)选择该地域下的VPC和子网(这里只会下拉VPC在该可用区下的子网列表)
3)选择主机是否用作公网网关(购买公网网关时请一定购买公网带宽及IP,否则无法实现Internet的路由转发功能)
注意:请不要多个用户同时发起针对同一子网的云服务器购买操作,IP数量限制带来的冲突可能会导致订单发货失败。



2.4 删除子网

您可以在子网属性中点击“删除”删除子网
si**luocaozuo-13.jpg



您只可以删除不含有云服务器的子网,如果需要删除含有云服务器的子网,请先联系客服退还子网内云主机。



2.5 更换子网关联路由表

您可以通过两种方式更换子网关联的路由表:
1)鼠标拖动
鼠标点击子网方框下的蓝色方块并保持点击拖动至您想要关联的路由表
si**luocaozuo-14.jpg



2)编辑子网属性时,更换关联路由表


3 路由器

路由器中主要可以创建和编辑路由表,并可以修改私有网络内云资源的内网IP。



3.1 添加路由表

首先切换至你想增加路由表的私有网络tab界面,点击右上方“添加路由表”
si**luocaozuo-15.jpg



您可以为您的路由表设定自定义名称(名称只显示在路由表的详细信息中),并编辑路由表的路由策略。界面中可以看到系统默认的一条“local”路由,代表私有网络中云主机内网互通,用户无需编辑。
si**luocaozuo-16.jpg


下一跳类型分为两种:云主机(公网网关)、VPN网关。对于云主机,需要在下一跳中填入作为公网网关的云服务器内网IP;对于VPN网关,如果您已经购买,则系统会帮您自动选定。



3.2 编辑路由表

首先点击要修改的路由表,弹出路由表属性,点击“编辑”即可进入路由表编辑状态
si**luocaozuo-17.jpg




3.3 删除路由表

路由表属性中,点击删除即可删除路由表。
si**luocaozuo-18.jpg



删除路由表前请将已关联此路由表的子网切换关联至其他子网,否则路由表无法删除。
默认路由表不可以删除。



4 VPN网关

此部分操作主要包括创建、编辑、续费、升级VPN网关等。


4.1 创建VPN网关

在私有网络控制台,选择您需要创建VPN网关的私有网络tab页,点击 “创建VPN网关”
si**luocaozuo-19.jpg



跳转进入创建VPN网关界面
si**luocaozuo-20.jpg


您可以为VPN网关自定义名称,并根据需求选择VPN的规格、使用时长。您可以勾选自动续费,在您账户余额充足且VPN即将到期时,自动续期1个月。



4.2 编辑VPN网关

点击VPN图标,展开VPN网关属性,点击右上角编辑
si**luocaozuo-21.jpg



进入编辑模式,用户可以编辑VPN网关名称,开启或关闭自动续费。
si**luocaozuo-22.jpg



4.3 VPN网关的续费和升级

您可以在VPN网关的详细信息中对VPN网关进行续费和升级操作
si**luocaozuo-23.jpg



点击续费,跳转至VPN续费页面,如下图所示
si**luocaozuo-24.jpg


VPN续费逻辑是将现有VPN到期时间进行顺延,例如图中VPN的到期时间为2015-03-04 14:27:58,续费1个月后到期时间为2015-04-04 14:27:58。
与续费相似,点击升级弹出VPN网关升级界面,如下图所示
si**luocaozuo-25.jpg


VPN网关配置升级是对网关剩余有效期的配置进行升级,升级费用按天计算,不足一天按照一天计,配置升级在订单支付后10分钟内生效。
注意:VPN配置升级的订单请尽快支付,否则超过24h未支付订单将失效,需要重新下单。



5 对端网关

控制台可以创建和编辑对端网关。


5.1 创建对端网关

在私有网络最下方对端网关中间点击“创建对端网关”即可弹出创建窗口,如下图所示:
si**luocaozuo-26.jpg



si**luocaozuo-27.jpg


输入名称和对端网关IP后点击确定即可完成对端网关建立,如果用户同时勾选“同时创建通道”,则窗口变为下图所示:
si**luocaozuo-28.jpg


窗口中列出了通道连接的VPN网关名称、通道协议加密类型、预共享秘钥、对端网段。其中预共享秘钥支持英文、数字和(0~9)键盘对应的特殊字符。对端网段最多支持50个对端网段,不同网段之间用英文分号”;” 进行区分。
点击确认将一并创建VPN网关与对端网关的VPN加密通道,如下图所示:
si**luocaozuo-29.jpg




5.2 修改、删除对端网关

点击对端网关即可显示对端网关的详细信息,点击编辑可以修改对端网关名称,点击删除即可删除对端网关。
si**luocaozuo-30.jpg



注意:连接有VPN通道的对端网关不可以删除,请先删除VPN通道,再尝试删除对端网关。



6 VPN通道

您可以在VPN网关和对端网关之间创建VPN通道。


6.1 创建VPN通道

拖动VPN网关下的蓝色实心原点至希望建立VPN通道的对端网关即可发起VPN通道的创建,如下图所示:
si**luocaozuo-31.jpg



高亮后弹出窗口:
si**luocaozuo-32.jpg


与创建对端网关同时创建通道相同,填入共享秘钥和对端网段即可完成通道创建。



6.2 修改和删除VPN通道

点击锁状图标可以显示VPN通道详细信息,如下图所示:
si**luocaozuo-33.jpg



点击编辑可以修改对端网段和预共享秘钥,点击删除即可以删除VPN通道。



6.3 下载配置文件,配置用户网关

Step1 获取usrGw配置模板
si**luocaozuo-34.jpg



在展现的界面中点击“下载配置文件“则可以下载usrGw的参考配置模板
当前配置模板的下载支持两个厂家,分别是H3C与cisco


Step2 根据配置模板配置usrGw设备
以H3C的VSR作为usrGw为例配置:
组网需求: 在腾讯VPN网关和用户usrGw之间建立一条IPsec 隧道,对腾讯VPN网关和用户usrGw之间的数据流进行安全保护。具体要求如下:
a.封装形式为隧道模式
b.安全协议采用 ESP 协议
c.加密算法为aes-cbc-128,认证算法为sha-1
d.KE协商方式建立IPsec SA
组网信息:
a.VPN网关ID为10
b.VPN通道ID为15
c.VPN网关的公网IP为119.29.72.141
d.腾讯端子网信息为10.10.0.0/16,用户端子网信息为192.168.0.0/16
配置步骤

##IKE配置
(1)配置IKE提议,默认存在一个缼省的IKE提议,这里以新建一个IKE提议1为例做配置
[usrGw15]ike proposal 1
[usrGw15-ike-proposal-1]
(2)配置IKE提议使用的认证方法,默认使用预共享密钥的认证方法
[usrGw15-ike-proposal-1]authentication-method pre-share
(3)配置IKE提议使用的加密算法,默认是非FIPS模式下使用DES-CBC加密算法
[usrGw15-ike-proposal-1]encryption-algorithm des-cbc
(4)        配置IKE提议使用的认证算法,默认非FIPS默认下使用HMAC-SHA1认证算法
[usrGw15-ike-proposal-1]authentication-algorithm sha
(5)        配置IKE第一阶段密钥协商时所使用的DH密钥交换参数,默认非FIPS模式下是group1,及768-bit的Diffie-Hellman group
[usrGw15-ike-proposal-1]dh group1
[usrGw15-ike-proposal-1]quit
(6)        创建并配置IKE keychain,名称为keychain1
[usrGw15]ike keychain keychain1
[usrGw15-ike-keychain-keychain1]
(7)配置与IP 地址为119.29.72.141 的对端使用的预共享密钥为明文123456。
[usrGw15-ike-keychain-keychain1]pre-shared-key address 119.29.72.141 255.255.255.255 key simple 123456
(8)创建并配置IKE profile,名称为profile1
[usrGw15]ike profile profile1
[usrGw15-ike-profile-profile1]keychain keychain1
(9)配置本端身份信息,采用fqdn,身份信息为usergw+“VPN通道ID“
[usrGw15-ike-profile-profile1]local-identity fqdn usergw15
(10)匹配对端身份信息,身份信息为vpngw+“VPN网关ID“
[usrGw15-ike-profile-profile1]match remote identity fqdn vpngw10
[usrGw15-ike-profile-profile1]quit

##IPSec配置
(1)配置一个访问控制列表,定义由子网192.168.0.0/16 去子网10.10.0.0/16的数据流。
[usrGw15]acl advanced 3001
[usrGw15-acl-ipv4-adv-3001]rule permit ip source 192.168.0.0 0.0.255.255 destination 10.10.0.0 0.0.255.255
[usrGw15-acl-ipv4-adv-3001]quit
[usrGw15]
(2)创建名为transform-set1 的IPsec 安全提议。
[usrGw15]ipsec transform-set transform-set1
[usrGw15-ipsec-transform-set-transform-set1]
(3)报文封装形式采用隧道模式,默认配置即为隧道模式。
[usrGw15-ipsec-transform-set-transform-set1]encapsulation-mode tunnel
(4)安全协议采用ESP 协议,默认配置即为ESP
[usrGw15-ipsec-transform-set-transform-set1]protocol esp
(5)配置ESP 协议采用的加密算法为aes-cbc-128,认证算法为sha1
[usrGw15-ipsec-transform-set-transform-set1] esp encryption-algorithm aes-cbc-128
[usrGw15-ipsec-transform-set-transform-set1] esp authentication-algorithm sha1
(6)创建一条IPsec 安全策略,协商方式为isakmp
[usrGw15]ipsec policy policy1 1 isakmp
[usrGw15-ipsec-policy-isakmp-policy1-1]
(7)引用IPsec 安全提议
[usrGw15-ipsec-policy-isakmp-policy1-1]transform-set transform-set1
(8)引用访问控制列表
[usrGw15-ipsec-policy-isakmp-policy1-1] security acl 3001
(9)指定IPsec 隧道的对端IP 地址为119.29.72.141
[usrGw15-ipsec-policy-isakmp-policy1-1] remote-address 119.29.72.141
(10)引用IKE profile 为profile1
[usrGw15-ipsec-policy-isakmp-policy1-1] ike-profile profile1
[usrGw15-ipsec-policy-isakmp-policy1-1]quit
(11)配置针对无效IPSec SPI的IKE SA恢复功能
[usrGw15]ike invalid-spi-recovery enable

##端口配置
在业务口上应用IPsec 安全策略组
[usrGw15]interface GigabitEthernet1/2/0
[usrGw15-GigabitEthernet1/2/0] ipsec apply policy policy1
[usrGw15-GigabitEthernet1/2/0]quit

以CISCO3845设备作为usrGw为例配置:
组网需求
在腾讯VPN网关和用户usrGw之间建立一条IPsec 隧道,对腾讯VPN网关和用户usrGw之间的数据流进行安全保护。具体要求如下:
a.封装形式为隧道模式
b.安全协议采用 ESP 协议
c.加密算法为aes-cbc-128,认证算法为sha-1
d.IKE协商方式建立IPsec SA
组网信息
a.VPN网关ID为10
b.VPN通道ID为15
c.VPN网关的公网IP为119.29.72.141
d.腾讯端子网信息为10.10.0.0/16,用户端子网信息为192.168.0.0/16
配置步骤

##IKE配置
(1)配置IKE提议,默认存在一个缼省的IKE提议,这里以新建一个IKE提议1为例做配置
usrGw15(config)#crypto isakmp policy 1
(2)配置IKE提议使用的认证方法
usrGw15(config-isakmp)#authentication pre-share
(3)配置IKE提议使用的加密算法,默认是非FIPS模式下使用DES-CBC加密算法
usrGw15(config-isakmp)#encryption des
(4)配置IKE提议使用的认证算法,默认非FIPS默认下使用HMAC-SHA1认证算法
usrGw15(config-isakmp)#hash sha
(5)配置IKE第一阶段密钥协商时所使用的DH密钥交换参数,默认非FIPS模式下是group1,即768-bit的Diffie-Hellman group
usrGw15(config-isakmp)#group 1
usrGw15(config-isakmp)#exit
usrGw15(config)#
(6)创建并配置IKE keyring ,名称为1
usrGw15(config)#crypto keyring 1
usrGw15(conf-keyring)#
(7)配置与IP 地址为119.29.72.141 的对端使用的预共享密钥为明文123456。
usrGw15(conf-keyring)#pre-shared-key address 119.29.72.141 key 123456
(8)创建并配置IKE profile,名称为profile1
usrGw15(config)#crypto isakmp profile 1
usrGw15(conf-isa-prof)# keyring 1
(9)配置本端身份信息,采用fqdn,身份信息为usergw+“VPN通道ID“
usrGw15(conf-isa-prof)# self-identity fqdn usergw15
(10)匹配对端身份信息,身份信息为vpngw+“VPN网关ID“
usrGw15(conf-isa-prof)#match identity host vpngw10
usrGw15(conf-isa-prof)#exit
usrGw15(config)#

##IPSec配置
(1)配置一个访问控制列表,定义由子网192.168.0.0/16 去子网10.10.0.0/16的数据流。
usrGw15#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
usrGw15(config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 10.10.0.0 0.0.255.255
(2)创建名为transform-set1 的IPsec 安全提议,配置ESP 协议采用的加密算法为aes-cbc-128,认证算法为sha1,安全协议采用ESP 协议。
usrGw15(config)#crypto ipsec transform-set vsr esp-aes 128 esp-sha-hmac
usrGw15(cfg-crypto-trans)#
(3)报文封装形式采用隧道模式,默认配置即为隧道模式。
usrGw15(cfg-crypto-trans)#mode tunnel
usrGw15(cfg-crypto-trans)#exit
usrGw15(config)#
(4)创建一条IPsec 安全策略,协商方式为isakmp
usrGw15(config)#crypto map 1 1 ipsec-isakmp
usrGw15(config-crypto-map)#
(5)引用IPsec 安全提议
usrGw15(config-crypto-map)#set transform-set vsr
(6)引用访问控制列表
usrGw15(config-crypto-map)# match address 101
(7)指定IPsec 隧道的对端IP 地址为119.29.72.141
usrGw15(config-crypto-map)#set peer 119.29.72.141
(8)引用IKE profile 为profile1
usrGw15(config-crypto-map)#set isakmp-profile 1
usrGw15(config-crypto-map)#exit
usrGw15(config)#
(9)配置针对无效IPSec SPI的IKE SA恢复功能
usrGw15(config)#crypto isakmp invalid-spi-recovery

##端口配置
在业务口上应用IPsec 安全策略组
usrGw15(config)#interface Dialer 1
usrGw15(config-if)#crypto map 1
usrGw15(config-if)#


2

主题

2

好友

1311

积分

攻城师[LV3]

Rank: 3Rank: 3Rank: 3

云币
5036
威望
1311
发表于 2015-8-15 00:34:56 |显示全部楼层
这样的好帖子必须赞一个
回复

使用道具 举报

2

主题

0

好友

15

积分

小白[LV1]

Rank: 1

云币
89
威望
15
发表于 2015-9-7 10:38:04 |显示全部楼层
1.png

请问这里这个目的端是指的什么?该如何配置呀?
回复

使用道具 举报

0

主题

0

好友

40

积分

小白[LV1]

Rank: 1

云币
140
威望
40
发表于 2017-5-1 16:03:09 |显示全部楼层
向私有子网添加已存在的主机要怎么做?
貌似云主机创建后,网络就固定了,自己不能销毁,到新的网络位置新增。各种操作要通过客服。。。云主机啊,做的真好!!!
回复

使用道具 举报

5

主题

0

好友

400

积分

程序猿[LV2]

Rank: 2Rank: 2

云币
890
威望
400
发表于 2017-5-15 18:40:36 |显示全部楼层
这个怎么收费的呢
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-20 11:05 , Processed in 1.211576 second(s), 31 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部