0虛擬私有用戶使用指南

目目 子 帶 2IPSEC 創(chuàng)建私有IP地 目目 彈性IP管 添加安全組規(guī) 刪除安全組規(guī) 刪除安全 簡(jiǎn) 簡(jiǎn)單的 內(nèi)網(wǎng)對(duì)連拓?fù)湔f 目目 彈性 24 安全 11PAGE1PAGE1

虛擬私有云（CT-VPC，VirtualPrivateCloud）為用戶構(gòu)建的、用戶自主配置和管理的虛擬將VPC連接到公網(wǎng)，或者使用將VPC與企業(yè)數(shù)據(jù)中心互聯(lián)。的虛擬機(jī)IP地址都屬于該子網(wǎng)。彈性安全組創(chuàng)建后，用戶可以在安全組中定義各種規(guī)則，當(dāng)云主機(jī)加入該安全組后，即受到這些訪直接使用VPC中的業(yè)務(wù)資源。IPSec是一種加密的隧道技術(shù)，通過使用加密的安全服務(wù)在不同的網(wǎng)絡(luò)之間建立而安全的通訊多個(gè)遠(yuǎn)端子網(wǎng)。但是遠(yuǎn)端子網(wǎng)不能和所在的VPC下的子網(wǎng)。22PAGE3PAGE3

2-12-22-1動(dòng)過后，會(huì)通過DHCP協(xié)議自動(dòng)獲取到IP地址。2-32-4說明：當(dāng)存在彈性IP資源時(shí)，最后一個(gè)VPC不能刪除。3理3理3子3子3-13-1后，會(huì)通過DHCP協(xié)議自動(dòng)獲取到IP地址。取到IP地址。--管理私有IP創(chuàng)建私有IP刪除私有IP申請(qǐng)彈性

彈性IP1綁定彈性IP解綁定彈性IP釋放彈性IP55大小后的【修改】按鈕，如圖5-1所示。666-4所示。(CT-VPC)信。如果您需要將VPC中的彈性云主機(jī)和您的數(shù)據(jù)中心或私有網(wǎng)絡(luò)連通，可以啟用功能。此操作您需要在VPC中創(chuàng)建并更新您的安全組規(guī)則。簡(jiǎn)單的P 內(nèi)網(wǎng)對(duì)連拓?fù)湔f192.18.20/24數(shù)據(jù)中心內(nèi)也搭建。RFCRFC圖6-5IPsec 參數(shù)說明如表6-3基本參數(shù)、表6-4IKE、表6-5IPsec所示Key據(jù)中心的中，配置需要一致。表6-4IKE 安全（SA—SecuityAssociations）的生存時(shí)表6-5IPsec 安全（SA—SecuityAssociations）的生存時(shí)配置，否則會(huì)導(dǎo)致無法建立連接。置對(duì)端隧道時(shí)，遠(yuǎn)端網(wǎng)關(guān)需要配置為該IP地址（93.188.242.110。 77的賬戶中的另一個(gè)實(shí)例，從而實(shí)例故障。彈性IP與租戶賬戶相關(guān)聯(lián)，而不是與某個(gè)實(shí)例相關(guān)彈性IP是否或月來使用，使用按需計(jì)費(fèi)可以隨需使用。每個(gè)資源池具體支持的模式請(qǐng)參見天翼云官網(wǎng)。一個(gè)用戶下支持多少個(gè) 支持將兩個(gè)虛擬私有云（VPC）如何配 對(duì)端設(shè)備 USG6000配置示例 1.登錄設(shè)備令行配置界面 3.ikeproposal4.創(chuàng)建ikepeer， dhgroup5authentication-algorithmsha1saduration3600qaclnumber rule1permitipsource192.168.3.00.0.0.255destination192.168.1.0rule2permitipsource192.168.3.00.0.0.255destination192.168.1.0rule3permitipsource192.168.4.00.0.0.255destination192.168.2.0rule4permitipsource192.168.4.00.0.0.255destination192.168.2.00.0.0.255ike undoversion 117.78.saqq創(chuàng)建IPSec策略，并ike和ipsecproposalipsec641securityacl3065pfsdh-group5 ikepeer64proposalipsecpro64q q對(duì) 設(shè)備支持列因?yàn)樵O(shè)備對(duì)協(xié)議的實(shí)現(xiàn)方式不一致，導(dǎo)致接入失敗。如果發(fā)現(xiàn)不能建立連接，請(qǐng)參考“7.1.3.9如何解決無法建立連接問題？”，進(jìn)行基本檢查或聯(lián)系技術(shù)支持人員。RFC4301：SecurityArchitecturefortheInternetRFC2403：TheUseofHMAC-MD5-96withinESPandRFC2409：TheInternetKeyExchangeRFC2857：TheUseofHMAC-RIPEMD-160-96withinESPandRFC3566:TheAES-XCBC-MAC-96AlgorithmanditsusewithRFC3625：MoreModularExponential(MODP)Diffie-mangroupsforInternetKeyExchange(IKE)RFC3664：TheAES-XCBC-PRF-128AlgorithmfortheInternetKeyExchangeProtocolRFC3706：ATraffic-BasedMethodofDetectingDeadInternetKeyExchange(IKE)RFC3748：ExtensibleAuthenticationRFC3947：NegotiationofNAT-TraversalintheRFC4109：AlgorithmsforInternetKeyExchangeversion1RFC3948：UDPEncapsulationofIPsecESPRFC4305：CryptographicAlgorithmImplementationRequirementsforEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH)RFC4306：InternetKeyExchangeRFC4307：CryptographicAlgorithmsforUseintheInternetKeyExchangeVersion2RFC4322：OpportunisticEncryptionusingtheInternetKeyExchangeRFC4359：TheUseofRSA/SHA-1SignatureswithinEncapsulatingSecurityPayload(ESP)andAuthenticationHeader(AH)RFC4434：TheAES-XCBC-PRF-128AlgorithmfortheInternetKeyExchangeProtocolRFC4478：RepeatedAuthenticationinInternetKeyExchangeRFC5996：InternetKeyExchangeProtocolVersion2 7-1表7-2IKEAuthenticationEncryption DHLifecycle表7-3IPsecAuthenticationEncryption DHTransferLifecyclerule1permitipsource192.168.3.00.0.0.255rule1permitipsource192.168.3.00.0.0.255destination192.168.1.0rule2permitipsource192.168.3.00.0.0.255destination192.168.1.0rule3permitipsource192.168.4.00.0.0.255destination192.168.2.0rule4permitipsource192.168.4.00.0.0.255destination192.168.2.0后，用戶可以在安全組中定義各種規(guī)則，當(dāng)彈性云主機(jī)加入該安全組后，即受到這些規(guī)則安全組規(guī)則入方向表示外部彈性云主機(jī)，出方向