# 操作指南



### 创建UWAN虚拟路由器
创建UWAN虚拟路由器时，您需要选择UWAN虚拟路由器所在地域，并对UWAN虚拟路由器进行命名。每个地域仅支持创建一台UWAN虚拟路由器。此外，每台UWAN虚拟路由器会附带一个UWAN接入带宽包，您需要对带宽包名称、带宽方式、带宽额度进行配置。创建完成后，DezaiCloud会自动为您的UWAN虚拟路由器分配公网IP，用于和CE侧设备进行连接。
<!-- image-todo -->

### 创建CE客户网关
创建客户网关时，需注意，客户网关IP是您本地网络的网关设备IP，客户网关是一个虚拟的概念，它代表您本地网关在DezaiCloud上的投射，方便您创建管理隧道。
<!-- image-todo -->

### 创建隧道
可以在网关创建完成后，直接前往创建隧道。
<!-- image-todo -->
也可以在CE客户网关页面，点击「创建隧道」，进行隧道创建。
<!-- image-todo -->

### 隧道基础信息
您可以在此页面填写隧道预共享密钥，预共享密钥是用于验证IPSec连接的Unicode字符串，用于验证您本地和UWAN虚拟路由器侧的连接，提高连接的安全性。
<!-- image-todo -->

### IKE规则
KE目前仅支持V1版本和V2版本。在您没有调整配置时，使用的是我们的默认配置。使用默认配置时，如果发起隧道连接是由客户网关发起，DezaiCloud VPN网关为接受端时，VPN网关做协商。如果VPN网关发起连接，客户网关作为接受端时，则以默认配置发起，需要对端配置协商模式或者相同配置才能建立起隧道，默认配置见配置项表。
<!-- image-todo -->


| **配置项** | **支持类型与描述**                                                  |
| --------- | :----------------------------------------------------------- |
| 加密算法 |配置IKE协商过程中使用的报文加密算法，支持aes128、aes192、aes256和3des四种加密算法，默认为aes128 |
| 认证算法  | 配置IKE协商过程中使用的报文认证算法，支持md5、sha1和sha2-256三种认证算法，默认为sha1。 |
| 协商模式| 配置IKE协商过程中使用的协商模式，支持主模式和野蛮模式两种协商模式，默认为主模式。 |
| DH组|配置IKE协商过程中使用的Diffie-Hellman组，支持1、2、5、14、15和16，默认为15。 |
| 本端ID类型 |配置描述本端VPN网关设备的ID。支持自动识别、IP地址标识和域名标识3种类型，默认为自动识别。|
|对端ID类型| 配置描述对端VPN网关设备的ID。支持自动识别、IP地址标识和域名标识3种类型，默认为自动识别。|
|SA超时（时间）| 配置Security Association的超时时间，范围是600-604800，默认为1080，单位为秒。|

### IPSec规则
在IPSec配置中，需要配置CE侧网段，最多可以填入10个字网。CE侧网段是您希望能够连通的您本地机房的子网。
<!-- image-todo -->
除了子网的基础配置，如果您没有更改高级选项中的配置更改，则使用的是我们的默认配置，和IKE一样，使用默认配置时，如果发起隧道连接是由CE客户网关发起，UWAN虚拟路由器为接受端时，UWAN虚拟路由器做协商。如果UWAN虚拟路由器发起连接，CE客户网关作为接受端时，则以默认配置发起，需要对端配置协商模式或者相同配置才能建立起隧道。 
<!-- image-todo -->


| **配置项** | **支持类型与描述**                                                  |
| --------- | :----------------------------------------------------------- |
| 加密算法 |配置IKE协商过程中使用的报文加密算法，支持aes128、aes192、aes256和3des四种加密算法，默认为aes128 |
| 认证算法  | 配置IKE协商过程中使用的报文认证算法，支持md5、sha1和sha2-256三种认证算法，默认为sha1。 |
|SA超时（时间）| 配置Security Association的超时时间，范围1200-604800，默认为3600，单位秒。|
|SA超时（流量）| 配置IPSec的Security Association超时时间，范围8000-2000000，默认使用SA超时（时间），单位字节。|
| 安全协议| 配置IPSec使用的安全协议，支持AH和ESP，默认ESP |
| PFS DH组|配置是否开启PFS功能，支持Disable、1、2、5、14、15和16，默认Disable |


### 编辑隧道
创建完成隧道后，如果需要对配置项做变更，可以编辑隧道，但保存新的配置项后，需要您适配本地数据中心网关的配置，隧道才能重新建立。
<!-- image-todo -->

### 管理UWAN虚拟路由器
当您创建了多个UWAN虚拟路由器时，您可以在UWAN虚拟路由器管理页面，对UWAN虚拟路由器进行管理。
<!-- image-todo -->
您可以在详情页查看UWAN虚拟路由器详细信息，包括基本信息、关联的云联网信息，以及查看关联的UWAN跨域带宽包。
<!-- image-todo -->

### 查看路由信息
您可以在【UWAN虚拟路由器-详情-路由表】页面查看此台UWAN虚拟路由器从CE侧所接收到的路由信息。目的网段代表从CE侧学习到的子网，资源ID指发布此网段的网关的资源ID，下一跳网关类型，即网关资源ID所对应的网关类型。
<!-- image-todo -->

### 带宽包升级和降级
您可以在【UWAN虚拟路由器-详情-概览】页面查看UWAN接入带宽包，对带宽额度进行调整，也可以直接在【UWAN虚拟路由器管理】页面点击【调整带宽】，对带宽额度进行调整。
<!-- image-todo -->
<!-- image-todo -->

### 查看UWAN虚拟路由器监控
【图片待补充】

### 管理CE客户网关
当您创建了多个CE客户网关时，您可以在CE客户网关管理页面，对CE客户网关进行管理。
<!-- image-todo -->
您可以在【CE客户网关管理-详情】页面查看CE客户网关的基本信息、隧道监控信息；在【CE客户网关管理-隧道管理】页面查看隧道配置。
<!-- image-todo -->
<!-- image-todo -->

### 删除UWAN虚拟路由器
您可以在【UWAN虚拟路由器管理】页面对UWAN虚拟路由器进行删除操作。为防止误操作导致批量网络中断，在删除UWAN虚拟路由器之前，您需要先删除此虚拟路由器下所连接的CE客户网关，并解除和云联网的关联。
<!-- image-todo -->

### 删除CE客户网关
您可以在【CE客户网关管理】页面对CE客户网关进行删除操作。删除后会断开VPN连接，终止您本地网络到UWAN虚拟路由器的网络连接，请谨慎操作。
<!-- image-todo -->