## 操作场景 IPsec连接创建完成后，您可直接下载IPsec连接配置文件并保存到本地设备，以便后续在特殊情况下（如：本地无网络环境）配置对端VPN网关设备。 ## 操作限制不支持下载状态为**创建中**、**删除中**的IPsec连接的配置文件。 ## 操作步骤 1. 登录[IPsec连接控制台](https://console.volcengine.com/vpn/vpnConnect)。 2. 在顶部导航栏，选择目标项目和地域。 3. 在IPsec连接列表中，单击左侧复选框，选中待下载配置文件的IPsec连接。 4. 单击列表上方的**下载IPsec配置**按钮。 5. 在右侧弹出的界面中，单击**下载**按钮。下载完成的配置文件格式示例如下： ```Plain Text { "Local": "10.XX.XX.240", "Remote": "10.XX.XX.74", "LocalSubnet": "192.XX.XX.0/24,192.XX.XX.0/24", "RemoteSubnet": "172.XX.XX.0/24", "IkeConfig": { "version": "ikev1", "psk": "R0U17****", "dhGroup": "group2", "mode": "main", "encAlg": "aes", "authAlg": "sha1", "lifetime": 86400, "localId": "10.XX.XX.240", "remoteId": "10.XX.XX.74" }, "IpsecConfig": { "encAlg": "aes", "authAlg": "sha1", "lifetime": 86400, "dhGroup": "group2" }, "natTraversal": false, "dpdAction": "clear", "negotiateInstantly": false, "LogEnabled": false } } ``` |**参数** |**说明** | |---|---| |Local |本端VPN网关出口IP。 | |Remote |对端VPN网关出口IP。 | |LocalSubnet |本端网段。 | |RemoteSubnet |对端网段。 | |IkeConfig |IKE配置，包含LocalId、RemoteId、Version、Mode、EncAlg、AuthAlg、Lifetime、DhGroup、Psk。 | |version |IKE密钥交换协议的版本。 | |psk |预共享密钥，用于第一阶段VPN网关与用户网关之间的身份认证。 | |dhGroup |第一阶段协商使用的DH（Diffie\-Hellman）密钥交换算法。 | |mode |第一阶段的协商模式。 | |encAlg |第一阶段协商的加密算法。 | |authAlg |第一阶段协商的认证算法。 | |lifetime |第一阶段协商的SA的生存时间，超过生存时间后，将重新发起协商。 | |localId |VPN网关的标识，用于第一阶段的协商。 | |remoteId |用户网关的标识，用于第一阶段的协商。 | |IpsecConfig |IPsec配置，包含DhGroup、EncAlg、AuthAlg、Lifetime。 | |encAlg |第二阶段协商的加密算法。 | |authAlg |第二阶段协商的认证算法。 | |lifetime |第二阶段协商的SA的生存时间，超过生存时间后，将重新发起协商。 | |dhGroup |第二阶段使用的DH（Diffie\-Hellman）密钥交换算法。 | |natTraversal |NAT穿越功能。|\ | ||\ | |* true：已开启NAT穿越功能。|\ | |* false：未开启NAT穿越功能。 | |dpdAction |DPD功能。|\ | ||\ | |* clear：已开启DPD功能，DPD超时后清除IPsecVPN隧道。|\ | |* false：未开启DPD功能。|\ | |* hold：已开启DPD功能，DPD超时后保持原样，直到有新的数据进入隧道后尝试重连。|\ | |* restart：已开启DPD功能，DPD超时后立即尝试重连。|\ | |* none：未开启DPD功能。 | |negotiateInstantly |IPsec连接配置完成后是否立即发起协商。|\ | ||\ | |* true：IPsec连接配置完成后系统立即主动发起协商。|\ | |* false：IPsec连接配置完成后系统不主动发起协商，当有流量通过时被动发起协商。 | |LogEnabled |IPsec连接日志的状态。|\ | ||\ | |* true：开启。|\ | |* false：未开启。 | :::tip 感兴趣流模式下`localId`、`remoteId`有可能为域名的形式。 :::

VPN连接