VPN 网关用于在本地位置的 CloudSimple 区域网络或通过公共 Internet 的计算机之间发送加密流量。 每个区域可以有一个 VPN 网关,该网关可以支持多个连接。 创建与同一 VPN 网关的多个连接时,所有 VPN 隧道共享可用的网关带宽。
CloudSimple 提供两种类型的 VPN 网关:
- 站对站 VPN 网关
- 点对站点 VPN 网关
站点间 VPN 网关
站点到站点 VPN 网关用于在 CloudSimple 区域网络与本地数据中心之间发送加密流量。 使用此连接定义子网/CIDR 范围,用于本地网络与 CloudSimple 区域网络之间的网络流量。
通过 VPN 网关,可以从私有云本地使用服务,以及从本地网络使用私有云上的服务。 CloudSimple 提供基于策略的 VPN 服务器,用于从本地网络建立连接。
站点到站点 VPN 的用例:
- 从本地网络中的任何工作站访问私有云 vCenter。
- 将本地 Active Directory 用作 vCenter 标识源。
- 将 VM 模板、ISO 和其他文件从本地资源方便地传输到私有云 vCenter。
- 从本地网络访问在私有云上运行的工作负荷的可访问性。
加密参数
站点到站点 VPN 连接使用以下默认加密参数建立安全连接。 从本地 VPN 设备创建连接时,请使用本地 VPN 网关支持的任何以下参数。
第 1 阶段建议
| 参数 | 建议 1 | 建议 2 | 建议 3 |
|---|---|---|---|
| IKE 版本 | Internet密钥交换协议v1 (IKEv1) | Internet密钥交换协议v1 (IKEv1) | Internet密钥交换协议v1 (IKEv1) |
| 加密 | AES 128 | AES 256 | AES 256 |
| 哈希算法 | SHA 256 | SHA 256 | SHA 1 |
| 迪菲·赫尔曼集团(DH组) | 2 | 2 | 2 |
| 生存时间 | 28,800 秒 | 28,800 秒 | 28,800 秒 |
| 数据大小 | 4 GB | 4 GB | 4 GB |
第 2 阶段建议
| 参数 | 建议 1 | 建议 2 | 建议 3 |
|---|---|---|---|
| 加密 | AES 128 | AES 256 | AES 256 |
| 哈希算法 | SHA 256 | SHA 256 | SHA 1 |
| 完美前锋保密组 (PFS 组) | 没有 | 没有 | 没有 |
| 生存时间 | 1,800 秒 | 1,800 秒 | 1,800 秒 |
| 数据大小 | 4 GB | 4 GB | 4 GB |
重要
请在您的 VPN 设备上将 TCP MSS 限制设置为 1200。 或者,如果 VPN 设备不支持 MSS 限制,可以将隧道接口的 MTU 改为 1240 字节。
点对站点 VPN 网关
点对站点 VPN 用于在 CloudSimple 网络区域和客户端计算机之间发送加密流量。 点对站点 VPN 是访问您的私有云网络的最简单方法,包括您的私有云 vCenter 和工作负载虚拟机。 如果要远程连接到私有云,请使用点到站点 VPN 连接。