## 使用指南

### 创建VPN网关

创建VPN网关时，您需要填写的内容主要分两部分：网关信息与IP设置。网关信息中，除了网关名称，备注，业务组等基本信息，还需要选择此网关所在的VPC网络，VPN网关必须属于某一个VPC网络。另外有两种网关规格可供选择。IP设置中绑定IP的带宽，请和VPN规格情况结合，选定适当的带宽。

<!-- image-todo -->

### 创建客户网关

创建客户网关时，需注意，客户网关IP是您本地网络的网关设备IP，客户网关是一个虚拟的概念，它代表您本地网关在DezaiCloud上的投射，方便您创建管理隧道。

<!-- image-todo -->

### 创建隧道

创建隧道时除了隧道名称，备注，业务组等信息，还需要选择隧道对应的VPN网关或客户网关，如果没有创建VPN网关或客户网关，则不能建立隧道。

<!-- image-todo -->

### IKE规则

IKE目前仅支持V1版本，您需要填写预共享秘钥，预共享秘钥的格式为unicode。这是基本的IKE设置。在您没有选择高级选项时，使用的是我们的默认配置。使用默认配置时，如果发起隧道连接是由客户网关发起，DezaiCloud
VPN网关为接受端时，VPN网关做协商。如果VPN网关发起连接，客户网关作为接受端时，则以默认配置发起，需要对端配置协商模式或者相同配置才能建立起隧道，默认配置见配置项表。

如您需要配置除了预共享秘钥外的更多的选项，可以打开高级选项进行配置。

<!-- image-todo -->

高级选项打开后，可配置加密算法，认证算法，协商模式，DH组，本端与对端的ID类型，SA超时时间。支持的可配项如下：

| 配置项      | 支持类型与描述                                                          |
| -------- | ---------------------------------------------------------------- |
| 加密算法     | 配置IKE协商过程中使用的报文加密算法，支持aes128、aes192、aes256和3des四种加密算法，默认为aes128。 |
| 认证算法     | 配置IKE协商过程中使用的报文认证算法，支持md5、sha1和sha2-256三种认证算法，默认为sha1。           |
| 协商模式     | 配置IKE协商过程中使用的协商模式，支持主模式和野蛮模式两种协商模式，默认为主模式。                       |
| DH组      | 配置IKE协商过程中使用的Diffie-Hellman组，支持1、2、5、14、15和16，默认为15。             |
| 本端ID类型   | 配置描述本端VPN网关设备的ID。支持自动识别、IP地址标识和域名标识3种类型，默认为自动识别。                 |
| 对端ID类型   | 配置描述对端VPN网关设备的ID。支持自动识别、IP地址标识和域名标识3种类型，默认为自动识别。                 |
| SA超时（时间） | 配置Security Association的超时时间，范围是600-604800，默认为1080，单位为秒。          |

<!-- image-todo -->

### IPSec 规则

在IPSec配置中，需要配置本端网段，与对端网段。本端网段是指您在创建VPC时，在VPC下创建的子网。对端网段是您希望能够连通的您本地机房的子网。您在DezaiCloud的VPC上配置的子网不能与您本地网关的网段重合。
本端网段与对端网段的连接如下图：

<!-- image-todo -->

除了子网的基础配置，如果您没有更改高级选项中的配置更改，则使用的是我们的默认配置，和IKE一样，使用默认配置时，如果发起隧道连接是由客户网关发起，DezaiCloud
VPN网关为接受端时，VPN网关做协商。如果VPN网关发起连接，客户网关作为接受端时，则以默认配置发起，需要对端配置协商模式或者相同配置才能建立起隧道。
点击高级选项进行配置：

<!-- image-todo -->

| 配置项      | 说明                                                                 |
| -------- | ------------------------------------------------------------------ |
| PFS DH组  | 配置是否开启PFS功能，支持Disable、1、2、5、14、15和16，默认Disable                     |
| 安全协议     | 配置IPSec使用的安全协议，支持AH和ESP，默认ESP                                      |
| 加密算法     | 配置IPSec使用的加密算法，支持aes128、aes192、aes256和3des，默认aes128                |
| 认证算法     | 配置IPSec使用的认证算法，支持sha1和md5，默认值为sha1                                 |
| SA超时（时间） | 配置IPSec的Security Association超时时间，范围1200-604800，默认为3600，单位秒。        |
| SA超时（流量） | 配置IPSec的Security Association超时时间，范围8000-2000000，默认使用SA超时（时间），单位字节。 |

### 编辑隧道

创建完成隧道后，如果需要对配置项做变更，可以编辑隧道，但保存新的配置项后，需要您适配本地数据中心网关的配置，隧道才能重新建立。

<!-- image-todo -->

### 管理网关

当您创建了多个VPN网关和多个客户网关时，您可以在VPN网关或客户网关的列表页对网关进行管理，可以从不同维度对网关进行筛选。或进入网关页面，对网关进行编辑。
VPN网关管理，您可以解绑现在绑定在VPN网关上的弹性IP，绑定其他IP。但进行此操作前，需要先删除VPN网关上创建的隧道，否则新的EIP无法绑定VPN网关。

<!-- image-todo -->

当您决定不再使用VPN网关或者客户网关时，可以删除VPN网关和客户网关，但在删除网关前，也需要先删除网关上建立的隧道。删除VPN网关不会删除绑定在VPN网关上的弹性IP。

<!-- image-todo -->

### 查看监控

VPN网关监控 VPN网关监控了绑定弹性IP的出入流量，您可以在VPN网关页面中查取到监控视图。

<!-- image-todo -->

<!-- image-todo -->

隧道监控 隧道监控提供了隧道状态变化监控，及隧道出入流量的变化。

<!-- image-todo -->