检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
身份认证与访问控制 站点入云VPN连接支持通过预共享密钥(PSK)方式对对端网关进行身份验证。 只有对端网关配置的预共享密钥和VPN连接配置的预共享密钥相同时,身份验证才能通过,VPN连接才能成功建立。 图1 身份和访问管理 父主题: 安全
本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端使用不同CA证书。本示例使用的软件版本为Easy-RSA 3.1.7,不同软件版本之间可能存在差异,具体请参考官方指导说明。 操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。
本示例介绍在Windows操作系统中,通过Easy-RSA自签发证书,服务端和客户端共用CA证书。本示例使用的软件版本为Easy-RSA 3.1.7,不同软件版本之间可能存在差异,具体请参考官方指导说明。 操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。
P消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。 IKE
P消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。 IKE
VPN网关使用的服务端证书中缺少“服务器身份验证”扩展属性,导致验证失败。 处理步骤 找到目标服务端证书,双击打开。 单击“详细信息”,查看证书中是否包含“服务器身份验证”的值。如图 服务端证书所示。 图1 服务端证书 如果证书中不包含“服务器身份验证”扩展属性,需要重新生成服务端证
VPN网关使用的服务端证书缺少“服务器身份验证”的扩展属性,导致验证失败。 处理步骤 找到目标服务端证书,右键单击属性。 单击“详细信息”,查看证书中是否包含“服务器身份验证”的值。如图 服务端证书所示。 图1 服务端证书 如果证书中不包含“服务器身份验证”扩展属性,需要重新生成服务端
"scm:cert:list" "scm:cert:get" 表 VPN常用操作与系统权限的关系列出了站点入云VPN常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 站点入云VPN常用操作与系统权限的关系 操作 VPN Administrator(不推荐使用) VPN
VPN自定义策略 如果系统预置的VPN权限,不满足您的授权要求,可以创建自定义策略。 目前华为云支持以下两种方式创建自定义策略: 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。 JSON视图创建自定义策略:可
类各项云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API 网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全
P消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。 IKE
P消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。 IKE
Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头中,从而通过身份认证,获得操作API的权限。Token可通过调用获取用户Token获取用户Token接口获取。
方案概述 应用场景 终端入云VPN支持证书认证,服务端使用客户端CA证书验证客户端身份。 方案架构 支持多个客户端使用CA颁发的证书,登录连接VPN网关访问到云上VPC的场景。 图1 方案架构 方案优势 用户通过客户端证书认证方式连接到VPN网关,用户数据传输更安全。 约束与限制
给用户组授权之前,请您了解用户组可以添加的VPN权限,并结合实际需求进行选择,VPN支持的系统权限,请参见:权限管理。若您需要对除VPN之外的其它服务授权,IAM支持服务的所有权限请参见系统权限。 站点入云VPN的鉴权特性和企业项目特性是绑定的。如果用户账号未开通企业项目,无法进行鉴权。
在用户创建VPN网关时,系统会随机分配一个IP地址和VPC进行绑定,且这个IP地址也只能绑定1个VPC。 因为VPN的网关IP存在预置数据,所以VPN网关IP和EIP不能转换,在创建VPN网关时也不能指定IP地址。删除VPN网关时会释放IP地址与VPC的绑定关系;重新创建VPN网关时系统会重新随机分配网关IP地址。
操作步骤 登录AR路由器Web管理界面。 此处以AR651 V300R019C13SPC200为例,不同设备型号、系统版本的Web管理界面可能存在差异,配置时请以对应设备型号、系统版本的产品文档为准。 配置VPN连接。 选择“高级 > VPN > IPSec > IPSec策略管理”。
创建VPN时系统提示权限不足,如何处理? 请确认您的账号是否为子账号,如果未开通VPC操作权限,请使用主账号在统一身份认证服务(IAM)中对您的账号进行授权。确保具有“VPC Administrator”、“Tenant Guest”、“VPN Administrator”这三个【系统角色】权限。
选择“启用”。 启用 本端身份类型 选择“IP地址(IPV4_ADDR)”。 IP地址(IPV4_ADDR) 本端身份ID 当“对端设备地址类型”为“固定IP”或“动态域名”时,“本端身份类型”为“IP地址(IPV4_ADDR)”或“证书标识名称(DN)”的本端身份ID,可不填;当两端
网关列表,那么这个IAM用户被授予的策略中必须包含允许“vpn:vpnGateways:list”的授权项,该接口才能调用成功。 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
