You need to enable JavaScript to run this app.
导航
创建IPsec连接
最近更新时间:2024.10.10 16:37:11首次发布时间:2021.08.31 10:37:07

本文为您介绍如何创建IPsec连接。

约束限制

使用同一个VPN网关和相同的Remote ID,仅可创建一条IPsec连接。

前提条件

操作步骤

  1. 登录IPsec连接控制台

  2. 在顶部导航栏,选择目标项目和地域。

  3. 单击“创建IPsec连接”按钮。

  4. 参考下表配置IPsec连接。

    • 基本信息

      参数说明取值样例
      地域选择IPsec连接所在的地域。不同地域间内网隔离。建议选择距离您业务更近的地域,可以降低网络延时,提高访问速度。华北2(北京)
      名称设置IPsec连接的名称。IPsecVPN-dafn
      项目选择新创建IPsec连接所属项目。项目指您日常工作中的一项任务,您可以在同一账户下创建多个项目,并为项目创建/购买云资源。不同项目间,云资源不可共享。
      • 选定项目后,新创建的IPsec连接只能被具有该项目权限的用户所使用。
      • 若进入创建页面前,您已在顶部导航栏选择“账号全部资源”,则新创建的IPsec连接属于default项目,您可在创建IPsec连接页面更换项目。
      • 若进入创建页面前,您已在顶部导航栏选择了具体项目,则新创建的IPsec连接属于该项目。您不可在创建IPsec连接页面更改项目,如需更换项目,请退出创建页面重新选择项目再创建IPsec连接。
      • 若无可用项目,您可单击左侧的“创建项目”,创建一个新的项目。
      • IPsec连接加入项目后,您可根据实际业务需求把IPsec连接迁出项目,具体请参见项目资源管理
      default
    • 绑定资源

      参数说明取值样例

      绑定资源类型

      选择新创建IPsec连接绑定的资源类型。IPsec连接绑定不同类型的资源,所需支付的费用也不同,详细计费信息可参见计费说明

      注意

      IPsec连接绑定中转路由器场景下,带宽上限为200Mbps,若超出带宽上限可能会出现丢包。

      VPN网关

      VPN网关

      仅“绑定资源类型”为“VPN网关”时出现的参数。选择IPsec连接绑定的VPN网关。

      • 如需使用动态路由传播模式,需确保VPN网关已更新为最新版本,具体操作请参见升级VPN网关
      • 如需使用动态路由传播模式,需确保VPN网关已配置BGP ANS,具体操作请参见添加BGP ASN

      VPNGW-64e0

      中转路由器仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器所在项目和绑定IPsec连接的中转路由器实例。tr-wecd
      可用区仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器连接点所属的可用区。可用区A
    • 连接信息

      参数说明取值样例

      路由模式

      选择路由的模式。

      • 目的路由:基于目的IP进行路由转发,无需填写用于协商的本端网段和对端网段。
      • 感兴趣流:基于目的IP进行路由转发,需要填写用于协商的本端网段和对端网段。

      目的路由

      本端网段

      仅路由模式为“感兴趣流”模式下出现的参数,仅用于IPsec协商。
      输入本端云上私有网络中需要使用VPN连接通信的子网网段。

      192.168.1.0/24

      对端网段

      仅路由模式为“感兴趣流”模式下出现的参数,仅用于IPsec协商。
      输入对端IDC或私有网络中需要使用VPN连接通信的网段。

      192.168.2.0/24

      立即发起协商

      IPsec连接配置完成后是否立即生效。

      • 是:IPsec连接配置完成后系统立即主动发起协商。
      • 否:IPsec连接配置完成后系统不主动发起协商,当有流量通过时被动发起协商。

      路由传播模式

      选择IPsec连接的路由传播模式,支持静态路由和动态路由两种。

      • 静态路由:静态路由传播模式下,您需要在IPsec连接创建成功后,手动配置VPN网关路由,具体操作请参见添加VPN网关路由
      • 动态路由:动态路由传播模式下,路由自动同步转发,无需手动配置。
        • 动态路由传播模式下“路由模式”推荐使用“目的路由”。如果“路由模式”为“感兴趣流”并开启动态路由传播,仅在感兴趣流网段内的动态路由生效,不在感兴趣流网段内的动态路由不生效。
        • 如需使用动态路由传播模式,需确保同一IPsec连接关联资源(VPN网关或中转路由器)的ASN与所选用户网关的ASN不相同。

      说明

      • IPsec连接使用动态路由传播模式,自治系统中所有的ASN都不建议使用65535和4294967295,如果AS-Path中存在65535或4294967295,相关路由可能会被丢弃。
      • 动态路由功能当前为邀测阶段,仅开通后可用,如需试用请联系客户经理。

      动态路由

      用户网关选择一个所需的用户网关。如需使用动态路由传播模式,需确保用户网关已配置BGP ANS,如果未配置BGP ASN需重新创建用户网关,具体操作请参考创建用户网关CGW-sj2x-hyq3

      隧道网段

      仅路由传播模式为“动态路由”模式下出现的参数,即本端隧道IP和对端隧道IP所在网段。隧道网段必须同时满足以下3个要求:

      • 必须在169.254.0.0/16网段内。
      • 子网掩码为/30
      • 不可在169.254.255.0/24网段内。

      169.254.1.0/30

      本端隧道IP仅路由传播模式为“动态路由”模式下出现的参数,本端隧道IP是配置在VPN网关上的BGP地址,应属于已配置的隧道网段。169.254.1.1
      对端隧道IP仅路由传播模式为“动态路由”模式下出现的参数,对端隧道IP是配置在用户设备上的BGP地址,应属于已配置的隧道网段。169.254.1.2
      预共享密钥填写用于双方VPN设备的IKE协商的密钥,需确保VPN连接双方配置一致。长度不超过128个字符,只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;

      注意

      IPsec连接本端和对端的预共享密钥需配置一致,否则无法发起连接。取值样例仅为示例密钥,无实际意义。

      We!08sr@D****
      确认密钥请再次输入预共享密钥。We!08sr@D****

      连接日志

      是否开启IPsec连接日志。开启IPsec连接日志可查看各阶段IPsec连接详细信息,进行故障排查,具体可参见查看IPsec连接日志

      说明

      连接日志功能当前仅支持部分地域,实际请以控制台展示为准。

      关闭

      协议仅“绑定资源类型”为“中转路由器”或“稍后绑定到中转路由器”时出现的参数。请根据控制台指引查阅并确认相关协议。勾选
    • 高级配置

      参数说明取值样例

      DPD

      DPD(Dead Peer Detection)即对等体存活检测功能,默认开启此功能,且默认超时后清除。开启DPD功能,超时后操作如下:

      • 超时后清除:DPD超时后清除IKE SA。
      • 超时后立即重连:DPD超时后立即尝试重连。
      • 超时后等待重连:DPD超时后保持原样,直到新的流量进入后再次建立连接。

      超时后清除

      IKE配置IKE策略指定了IPsec通信隧道,在第一阶段即协商阶段的加密、认证算法和协商模式。
      版本IKE密钥交换协议版本,支持ikev1、ikev2。
      • 相比于ikev1,ikev2对多网段场景提供了更好的支持。
      • 本地网关同时支持ikev1和ikev2时,推荐使用ikev2。
      • 感兴趣流模式下,本地数据中心或对端私有网络配置了多网段时,ikev1支持较差,请选择ikev2。
      • 对端网关不支持ikev2时,仅可使用ikev1。
      ikev2
      协商模式仅IKE密钥交换协议版本为ikev1出现的参数,选择IKE认证的协商模式。
      • main:主模式。主模式需要进行三个交换的认证过程,并在每个交换中,会分别进行身份验证和密钥交换,因此主模式安全更高,适用于需要建立长期的VPN连接。
      • aggressive:野蛮模式。野蛮模式只需要进行两个交换的认证过程,因此野蛮模式认证速度更快,但安全性与主模式相比较低,适用于建立临时的VPN连接。
      main
      认证算法选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。

      注意

      sha1、md5安全性较低,请谨慎使用。

      sha256
      加密算法选择加密算法。支持aes、aes192、aes256、des、3des、sm4。

      注意

      des、3des安全性较低,请谨慎使用。

      aes
      DH算法选择DH(Diffie-Hellman)密钥交换算法。支持group1、group2、group5、group14。

      注意

      group1、group2、group5安全性较低,请谨慎使用。

      group14
      生命周期第一阶段协商的生存时间,超过生存时间后,将会重新发起协商。取值范围900~86400,单位:秒,默认为86400。86400
      Local IDIPsec连接本端的标识,用于第一阶段的协商,支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。--
      Remote IDIPsec连接对端的标识,用于第一阶段的协商,支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。
      • 不填写则默认为当前所选用户网关的公网IP地址。
      • 长度不超过100个字符,只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;
      --
      IPsec配置IPsec配置指定了IPsec通信隧道,在第二阶段即数据传输阶段的加密、认证算法。
      认证算法选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。

      注意

      sha1、md5安全性较低,请谨慎使用。

      sha256
      加密算法选择加密算法。支持aes、aes192、aes256、des、3des、sm4。

      注意

      des、3des安全性较低,请谨慎使用。

      aes
      DH算法选择DH(Diffie-Hellman)密钥交换算法。支持disable(不配置DH算法)、group1、group2、group5、group14。
      • 若客户端不支持PFS(Perfect Forward Secrecy)功能,此处需选择disable。
      • 若选择group1、group2、group5、group14,将默认开启PFS功能,对应的客户端也需要开启PFS功能。
      group14
      生命周期第二阶段协商的生存时间,超过生存时间后,将会重新发起协商。取值范围900~86400,单位:秒,默认为86400。86400
      NAT穿越开启或关闭NAT穿越功能。
      • NAT穿越(NAT Traversal)功能开启后,IKE协商时不会对UDP端口号进行验证,并且能够发现VPN连接隧道中NAT网关设备。
      • 如果创建用户网关时配置的IP地址是通过NAT方式获得,必须开启NAT穿越功能,并同时在本地VPN网关设备上配置NAT穿越功能。
      关闭
      健康检查开启或关闭IPsec连接健康检查功能。
      • 开启健康检查后VPN网关会按照您的健康检查配置,探测IPsec通道的连通性并展示检查状态。
      • 您可在云监控产品控制台查看健康检查恢复健康检查异常事件详细信息,具体操作请参考查看云产品事件
      开启
      源IP源IP指本地数据中心或对端VPC通过IPsec连接,可以访问的本端VPC侧的IP地址。
      • 不支持169.254.0.0/16224.0.0.0/3127.0.0.0/8网段内的IP。
      • 当同一个VPN网关下有多个IPsec连接需要开启健康检查时,请使用不同的源IP来区分。
      • 请勿使用VPC内已经占用的IP或将要被占用的IP作为源IP。若源IP为VPC内的IP且被使用,会导致经过VPN网关的流量不可达。
      100.96.10.10
      目的IP目的IP是本端VPC通过IPsec连接,可以访问的对端数据中心或对端VPC的IP地址。
      • 不支持169.254.0.0/16224.0.0.0/3127.0.0.0/8网段内IP。
      • 目的IP不可与源IP相同。
      100.96.5.10
      探测间隔执行健康检查的时间间隔。
      • 取值范围为1~300,单位:秒。
      • 默认间隔为3秒,即每3秒对目的IP进行一次健康检查。
      3
      响应超时等待健康检查响应的时间。
      • 如果目的IP在指定的时间内没有正确响应,则判定为健康检查“异常”。
      • 响应超时时间不可大于探测间隔。
      2
      健康阈值判断健康检查状态正常的检查次数。
      • 连续执行指定次数的健康检查,结果均为“正常”的IPsec连接将被判定为健康检查“正常”。
      • 取值范围为1~10,默认为3次。
      3
      不健康阈值判断健康检查状态异常的检查次数。
      • 连续执行指定次数的健康检查,结果均为“异常”的IPsec连接将被判定为健康检查“异常”。
      • 取值范围为1~10,默认为3次。
      3
  1. 单击“创建”按钮,根据界面提示完成操作。

    说明

    IPsec连接绑定中转路由器场景下,会自动分配一个公网IP作为火山引擎侧的出口IP,您可在IPsec连接详情页面获取公网IP的信息。

后续操作

  • 添加VPN网关路由:IPsec连接绑定VPN网关场景下,在VPN网关、用户网关、IPsec连接配置完成后,您需配置VPN网关路由。

  • 添加安全组规则:如需从对端访问本端私有网络内的云服务器,您需在待访问云服务器所属安全组添加相关规则,放通对端网段。

  • 配置本地网关路由:VPC侧配置完成后,您需要在配置对端VPN网关设备。您可下载IPsec连接配置文件并保存到本地设备,以便后续在特殊情况下(如:本地无网络环境)配置对端VPN网关设备。

相关文档