本文为您介绍如何创建IPsec连接。
使用同一个VPN网关和相同的Remote ID,仅可创建一条IPsec连接。
登录IPsec连接控制台。
在顶部导航栏,选择目标项目和地域。
单击“创建IPsec连接”按钮。
参考下表配置IPsec连接。
基本信息
参数 | 说明 | 取值样例 | |
---|---|---|---|
地域 | 选择IPsec连接所在的地域。不同地域间内网隔离。建议选择距离您业务更近的地域,可以降低网络延时,提高访问速度。 | 华北2(北京) | |
名称 | 设置IPsec连接的名称。 | IPsecVPN-dafn | |
项目 | 选择新创建IPsec连接所属项目。项目指您日常工作中的一项任务,您可以在同一账户下创建多个项目,并为项目创建/购买云资源。不同项目间,云资源不可共享。
| default |
绑定资源
参数 | 说明 | 取值样例 | |
---|---|---|---|
绑定资源类型 | 选择新创建IPsec连接绑定的资源类型。IPsec连接绑定不同类型的资源,所需支付的费用也不同,详细计费信息可参见计费说明。
注意 IPsec连接绑定中转路由器场景下,带宽上限为200Mbps,若超出带宽上限可能会出现丢包。 | VPN网关 | |
VPN网关 | 仅“绑定资源类型”为“VPN网关”时出现的参数。选择IPsec连接绑定的VPN网关。 | VPNGW-64e0 | |
中转路由器 | 仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器所在项目和绑定IPsec连接的中转路由器实例。 | tr-wecd | |
可用区 | 仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器连接点所属的可用区。 | 可用区A |
连接信息
参数 | 说明 | 取值样例 | |
---|---|---|---|
路由模式 | 选择路由的模式。
| 目的路由 | |
本端网段 | 仅路由模式为“感兴趣流”模式下出现的参数,仅用于IPsec协商。 | 192.168.1.0/24 | |
对端网段 | 仅路由模式为“感兴趣流”模式下出现的参数,仅用于IPsec协商。 | 192.168.2.0/24 | |
立即发起协商 | IPsec连接配置完成后是否立即生效。
| 是 | |
路由传播模式 | 选择IPsec连接的路由传播模式,支持静态路由和动态路由两种。
说明
| 动态路由 | |
用户网关 | 选择一个所需的用户网关。如需使用动态路由传播模式,需确保用户网关已配置BGP ANS,如果未配置BGP ASN需重新创建用户网关,具体操作请参考创建用户网关。 | CGW-sj2x-hyq3 | |
隧道网段 | 仅路由传播模式为“动态路由”模式下出现的参数,即本端隧道IP和对端隧道IP所在网段。隧道网段必须同时满足以下3个要求:
| 169.254.1.0/30 | |
本端隧道IP | 仅路由传播模式为“动态路由”模式下出现的参数,本端隧道IP是配置在VPN网关上的BGP地址,应属于已配置的隧道网段。 | 169.254.1.1 | |
对端隧道IP | 仅路由传播模式为“动态路由”模式下出现的参数,对端隧道IP是配置在用户设备上的BGP地址,应属于已配置的隧道网段。 | 169.254.1.2 | |
预共享密钥 | 填写用于双方VPN设备的IKE协商的密钥,需确保VPN连接双方配置一致。长度不超过128个字符,只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ; 注意 IPsec连接本端和对端的预共享密钥需配置一致,否则无法发起连接。取值样例仅为示例密钥,无实际意义。 | We!08sr@D**** | |
确认密钥 | 请再次输入预共享密钥。 | We!08sr@D**** | |
连接日志 | 是否开启IPsec连接日志。开启IPsec连接日志可查看各阶段IPsec连接详细信息,进行故障排查,具体可参见查看IPsec连接日志。 说明 连接日志功能当前仅支持部分地域,实际请以控制台展示为准。 | 关闭 | |
协议 | 仅“绑定资源类型”为“中转路由器”或“稍后绑定到中转路由器”时出现的参数。请根据控制台指引查阅并确认相关协议。 | 勾选 |
高级配置
参数 | 说明 | 取值样例 | |
---|---|---|---|
DPD(Dead Peer Detection)即对等体存活检测功能,默认开启此功能,且默认超时后清除。开启DPD功能,超时后操作如下:
| 超时后清除 | ||
IKE配置 | IKE策略指定了IPsec通信隧道,在第一阶段即协商阶段的加密、认证算法和协商模式。 | ||
版本 | IKE密钥交换协议版本,支持ikev1、ikev2。
| ikev2 | |
协商模式 | 仅IKE密钥交换协议版本为ikev1出现的参数,选择IKE认证的协商模式。
| main | |
认证算法 | 选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。 注意 sha1、md5安全性较低,请谨慎使用。 | sha256 | |
加密算法 | 选择加密算法。支持aes、aes192、aes256、des、3des、sm4。 注意 des、3des安全性较低,请谨慎使用。 | aes | |
DH算法 | 选择DH(Diffie-Hellman)密钥交换算法。支持group1、group2、group5、group14。 注意 group1、group2、group5安全性较低,请谨慎使用。 | group14 | |
生命周期 | 第一阶段协商的生存时间,超过生存时间后,将会重新发起协商。取值范围900~86400,单位:秒,默认为86400。 | 86400 | |
Local ID | IPsec连接本端的标识,用于第一阶段的协商,支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。
| -- | |
Remote ID | IPsec连接对端的标识,用于第一阶段的协商,支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。
| -- | |
IPsec配置 | IPsec配置指定了IPsec通信隧道,在第二阶段即数据传输阶段的加密、认证算法。 | ||
认证算法 | 选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。 注意 sha1、md5安全性较低,请谨慎使用。 | sha256 | |
加密算法 | 选择加密算法。支持aes、aes192、aes256、des、3des、sm4。 注意 des、3des安全性较低,请谨慎使用。 | aes | |
DH算法 | 选择DH(Diffie-Hellman)密钥交换算法。支持disable(不配置DH算法)、group1、group2、group5、group14。
| group14 | |
生命周期 | 第二阶段协商的生存时间,超过生存时间后,将会重新发起协商。取值范围900~86400,单位:秒,默认为86400。 | 86400 | |
NAT穿越 | 开启或关闭NAT穿越功能。
| 关闭 | |
健康检查 | 开启或关闭IPsec连接健康检查功能。
| 开启 | |
源IP | 源IP指本地数据中心或对端VPC通过IPsec连接,可以访问的本端VPC侧的IP地址。
| 100.96.10.10 | |
目的IP | 目的IP是本端VPC通过IPsec连接,可以访问的对端数据中心或对端VPC的IP地址。
| 100.96.5.10 | |
探测间隔 | 执行健康检查的时间间隔。
| 3 | |
响应超时 | 等待健康检查响应的时间。
| 2 | |
健康阈值 | 判断健康检查状态正常的检查次数。
| 3 | |
不健康阈值 | 判断健康检查状态异常的检查次数。
| 3 |
说明
IPsec连接绑定中转路由器场景下,会自动分配一个公网IP作为火山引擎侧的出口IP,您可在IPsec连接详情页面获取公网IP的信息。
添加VPN网关路由:IPsec连接绑定VPN网关场景下,在VPN网关、用户网关、IPsec连接配置完成后,您需配置VPN网关路由。
添加安全组规则:如需从对端访问本端私有网络内的云服务器,您需在待访问云服务器所属安全组添加相关规则,放通对端网段。
配置本地网关路由:VPC侧配置完成后,您需要在配置对端VPN网关设备。您可下载IPsec连接配置文件并保存到本地设备,以便后续在特殊情况下(如:本地无网络环境)配置对端VPN网关设备。