华为云和AWS云的VPN都是收费的,华为云可以包月或按时间/流量计费,AWS那边没有找到计费方式,貌似是按出网流量算的.打通内网需要华为云和AWS云各创建一个带有公网IP的网关,两个网关分别指向对方的公网IP,网关创建成功后就开始收费.而且需要先创建华为云这边的网关,因为AWS那边的网关创建完成后不能修改,如果想要修改,只能删除重新创建.
1.创建华为云 虚拟专用网络-VPN网关(华为云)
确认无误后购买,开始计费
2.创建AWS端网关,请先记好华为端的公网IP,就是上面的"本端网关"(AWS)
3.AWS的这个网关"IP地址"就是华为云的网关IP,路由选择static,其他默认就好,不需要配置,点击创建(AWS)
4.创建完成后查看"IP地址"是不是刚刚华为云给出来的公网IP(AWS)
5.创建虚拟专用网关(AWS)
6.将虚拟专用网关附加到想要通信的VPC(AWS)
7.状态为attached时表示绑定成功(AWS)
8.创建"站点到站点VPN连接"(AWS)
9.下载配置,并点到tunnel details标签下,获取AWS网关的IP(AWS)
10.下载的配置选择通用设备即可 ,下载下来的txt文件中,有华为云需要的所有配置信息,现在去更改华为云(AWS)
11.来到华为云,点击修改(华为云)
修改完成后点击确定,需要一些时间
默认情况下,华为云会把通往AWS内网的路由自动加上,所以不需要做多余配置
而AWS那边的路由不会自动加上,需要手动配置
至此云上的配置就全都完成了,下面这状态可能会有些延迟,你可以去服务器上测试两端的内网是否可以通信(请将VPC访问控制安全组放开两端的内网IP)
VPN通道正常的状态如下
(华为云)
(AWS)
***AWS下载的配置文件和华为云对应关系
# 下面对应IKE配置 IPSec Tunnel #1 # 版本 - IKE version : IKEv1 # 认证方式 - Authentication Method : Pre-Shared Key # 预共享密钥 - Pre-Shared Key : h0neMWtHTr.qhrFMjDRPf5MyXriR_1qa # 认证算法 - Authentication Algorithm : sha1 # 加密算法 - Encryption Algorithm : aes-128-cbc # 生命周期(秒) - Lifetime : 28800 seconds # 协商模式 - Phase 1 Negotiation Mode : main # DH算法 - Diffie-Hellman : Group 2 # 下面是IPsec策略 IPSec Configuration # 传输协议 - Protocol : esp # 认证算法 - Authentication Algorithm : hmac-sha1-96 # 加密算法 - Encryption Algorithm : aes-128-cbc # 生命周期(秒) - Lifetime : 3600 seconds - Mode : tunnel # PFS - Perfect Forward Secrecy : Diffie-Hellman Group 2