创建IPsec连接

本文为您介绍如何创建IPsec连接。

约束限制

使用同一个VPN网关和相同的Remote ID，仅可创建一条IPsec连接。

前提条件

• 已完成用户网关的创建，具体操作请参见创建用户网关。
• 已完成待绑定资源的创建，具体操作请参见创建VPN网关、创建中转路由器实例。

  说明

  当前中转路由器为邀测状态，如有需要您可提交工单或联系客户经理申请试用，申请成功后方可使用对应功能和相关文档。

操作步骤

1. 登录IPsec连接控制台。

2. 在顶部导航栏，选择目标项目和地域。

3. 单击“创建IPsec连接”按钮，进入创建IPsec连接页面。

4. 参考下表配置IPsec连接。

   参数	说明		取值样例
   基本信息
   地域	选择IPsec连接所在的地域。不同地域间内网隔离。建议选择距离您业务更近的地域，可以降低网络延时，提高访问速度。		华北2(北京)
   名称	设置IPsec连接的名称。		IPsecVPN-dafn
   项目	选择新创建IPsec连接所属项目。项目指您日常工作中的一项任务，您可以在同一账户下创建多个项目，并为项目创建/购买云资源。不同项目间，云资源不可共享。 选定项目后，新创建的IPsec连接只能被具有该项目权限的用户所使用。 若进入创建页面前，您已在顶部导航栏选择“账号全部资源”，则新创建的IPsec连接属于default项目，您可在创建IPsec连接页面更换项目。 若进入创建页面前，您已在顶部导航栏选择了具体项目，则新创建的IPsec连接属于该项目。您不可在创建IPsec连接页面更改项目，如需更换项目，请退出创建页面重新选择项目再创建IPsec连接。 若无可用项目，您可单击左侧的“创建项目”，创建一个新的项目。 IPsec连接加入项目后，您可根据实际业务需求把IPsec连接迁出项目，具体请参见项目资源管理。		default
   绑定资源
   绑定资源类型	选择新创建IPsec连接绑定的资源类型。IPsec连接绑定不同类型的资源，所需支付的费用也不同，详细计费信息可参见计费说明。 VPN网关：IPsec连接绑定VPN网关。 中转路由器：IPsec连接绑定中转路由器，详细配置指导，请参见通过中转路由器和VPN连接实现不同VPC与IDC之间的独立互通。 稍后绑定到中转路由器：IPsec连接暂不绑定资源，后续可单独绑定中转路由器，具体操作可参见创建网络实例连接。 注意 IPsec连接绑定中转路由器场景下，带宽上限为200Mbps，若超出带宽上限可能会出现丢包。		VPN网关
   VPN网关	仅“绑定资源类型”为“VPN网关”时出现的参数。选择IPsec连接绑定的VPN网关。		VPNGW-64e0
   中转路由器	仅“绑定资源类型”为“中转路由器”时出现的参数。选择IPsec连接绑定的中转路由器。		tr-wecd
   可用区	仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器连接点所属的可用区。		可用区A
   连接信息
   用户网关	选择一个所需的用户网关。		CGW-sj2x-hyq3
   路由模式	选择路由的模式。支持以下目的路由、感兴趣流两种模式，无论选择哪种路由模式，您都需要在创建IPsec连接后，手动配置VPN网关路由，具体操作请参见添加VPN网关路由。 目的路由：基于目的IP进行路由转发，无需填写用于协商的本端网段和对端网段。 感兴趣流：基于目的IP进行路由转发，需要填写用于协商的本端网段和对端网段。		感兴趣流
   本端网段	仅路由模式为“感兴趣流”模式下出现的参数，仅用于IPsec协商。 输入本端云上私有网络中需要使用VPN连接通信的子网网段。		192.168.1.0/24
   对端网段	仅路由模式为“感兴趣流”模式下出现的参数，仅用于IPsec协商。 输入对端IDC或私有网络中需要使用VPN连接通信的网段。		192.168.2.0/24
   立即发起协商	IPsec连接配置完成后是否立即生效。 是：IPsec连接配置完成后系统立即主动发起协商。 否：IPsec连接配置完成后系统不主动发起协商，当有流量通过时被动发起协商。		是
   预共享密钥	填写用于双方VPN设备的IKE协商的密钥，需确保VPN连接双方配置一致。长度不超过128个字符，只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ; 注意 该信息非常重要，请您妥善保存。取值样例仅为示例密钥，无实际意义。		We!08sr@D****
   确认密钥	请再次输入预共享密钥。		We!08sr@D****
   连接日志	是否开启IPsec连接日志。开启IPsec连接日志可查看各阶段IPsec连接详细信息，进行故障排查，具体可参见查看IPsec连接日志。 说明 连接日志功能当前仅支持部分地域，实际请以控制台展示为准。		关闭
   协议	仅“绑定资源类型”为“中转路由器”或“稍后绑定到中转路由器”时出现的参数。勾选“我已阅读并同意《中转路由器IPsec连接服务条款》” 。		勾选
   高级配置
   DPD	DPD（Dead Peer Detection）即对等体存活检测功能，默认开启此功能，且默认超时后清除。开启DPD功能，超时后操作如下： 超时后清除：DPD超时后清除IKE SA。 超时后立即重连：DPD超时后立即尝试重连。 超时后等待重连：DPD超时后保持原样，直到新的流量进入后再次建立连接。		超时后清除
   IKE配置	IKE策略指定了IPsec通信隧道，在第一阶段即协商阶段的加密、认证算法和协商模式。
   	认证算法	选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。 注意 sha1、md5安全性较低，请谨慎使用。	sha256
   	加密算法	选择加密算法。支持aes、aes192、aes256、des、3des、sm4。 注意 des、3des安全性较低，请谨慎使用。	aes
   	DH算法	选择DH（Diffie-Hellman）密钥交换算法。支持group1、group2、group5、group14。 注意 group1、group2、group5安全性较低，请谨慎使用。	group14
   	协商模式	选择IKE认证的协商模式。 main：主模式，此模式下协商的过程更加安全。 aggressive：野蛮模式，此模式下协商过程更快且成功率较高。	main
   	版本	IKE密钥交换协议版本，支持ikev1、ikev2。 相比于ikev1，ikev2对多网段场景提供了更好的支持。 本地网关同时支持ikev1和ikev2时，推荐使用ikev2。 感兴趣流模式下，本地数据中心或对端私有网络配置了多网段时，请选择ikev2。	ikev2
   	生命周期	第一阶段协商的生存时间，超过生存时间后，将会重新发起协商。取值范围900～86400，单位：秒，默认为86400。	86400
   	Local ID	IPsec连接本端的标识，用于第一阶段的协商，支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。 不填写则默认为当前所选VPN网关的出口IP地址。 若您手动设置为FQDN格式，协商模式推荐设置为“aggressive”。 长度不超过100个字符，只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;	--
   	Remote ID	IPsec连接对端的标识，用于第一阶段的协商，支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。 不填写则默认为当前所选用户网关的公网IP地址。 若您手动设置为FQDN格式，协商模式推荐设置为“aggressive”。 长度不超过100个字符，只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;	--
   IPsec配置	IPsec配置指定了IPsec通信隧道，在第二阶段即数据传输阶段的加密、认证算法。
   	认证算法	选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。 注意 sha1、md5安全性较低，请谨慎使用。	sha256
   	加密算法	选择加密算法。支持aes、aes192、aes256、des、3des、sm4。 注意 des、3des安全性较低，请谨慎使用。	aes
   	DH算法	选择DH（Diffie-Hellman）密钥交换算法。支持disable（不配置DH算法）、group1、group2、group5、group14。 若客户端不支持PFS（Perfect Forward Secrecy）功能，此处需选择disable。 若选择group1、group2、group5、group14，将默认开启PFS功能，对应的客户端也需要开启PFS功能。	group14
   	生命周期	第二阶段协商的生存时间，超过生存时间后，将会重新发起协商。取值范围900～86400，单位：秒，默认为86400。	86400
   NAT穿越	开启或关闭NAT穿越开关。 NAT穿越（NAT Traversal）功能开启后，IKE协商时不会对UDP端口号进行验证，并且能够发现VPN连接隧道中NAT网关设备。 如果创建用户网关时配置的IP地址是通过NAT方式获得，必须开启NAT穿越功能，并同时在本地VPN网关设备上配置NAT穿越功能。		关闭

5. 确认配置信息无误后，单击“确定”按钮，根据界面提示完成操作。

   说明

   IPsec连接绑定中转路由器场景下，会自动分配一个公网IP作为火山引擎侧的出口IP，您可在IPsec连接详情页面获取公网IP的信息。
   

后续操作

IPsec连接绑定VPN网关场景下，在VPN网关、用户网关、IPsec连接配置完成后，您还需配置VPN网关路由，具体操作请参见添加VPN网关路由。

如需从对端访问本端私有网络内的云服务器，请确保待访问云服务器所属安全组已放通对端网段。具体操作可参考添加安全组规则。

相关文档

CreateVpnConnection