最近更新时间:2024.03.22 08:25:16
首次发布时间:2021.08.31 10:37:07
IPsec连接是指用户网关和VPN网关之间,建立连接形成的通信隧道。用户侧和云上私有网络通过IPsec连接隧道,进行加密通信。
您可在创建IPsec连接时,通过配置参数“立即发起协商”来控制是否立即建立连接。
Ping
命令访问云上VPC或者有数据通过时,隧道才被触发建立连接。VPN连接功能即开即用,在IPsec通信隧道建立成功后,无需等待,您可立即使用VPN连接功能进行数据传输。
IKE配置
配置项 | 取值 | 默认 |
---|---|---|
版本 | 支持ikev1、ikev2。 | ikev2 |
协商模式 | 支持main 、aggressive,仅ikev1模式下支持配置此参数。 | main |
认证算法 | 支持sha1、md5、sha256、sha384、sha512。 | sha1 |
加密算法 | 支持aes、aes192、aes256、des、3des。 | aes |
DH算法 | 支持group1、group2、group5、group14。 | group2 |
生命周期 | 取值范围900~86400,单位:秒。 | 86400 |
IPsec配置
配置项 | 取值 | 默认 |
---|---|---|
认证算法 | 支持sha1、md5、sha256、sha384、sha512。 | sha1 |
加密算法 | 支持aes、aes192、aes256、des、3des。 | aes |
DH算法 | 支持disable(不配置)、group1、group2、group5、group14。 | group2 |
生命周期 | 取值范围900~86400,单位:秒。 | 86400 |
说明
如果使用ikev1,但IKE配置的生命周期配置不同,会出现断流后无法重新建立连接IPsec连接隧道。
必须配置。
当您创建IPsec连接后,您需要手动添加VPN网关路由条目,实现VPN网关到本地数据中心或其他私有网络的网络互通。路由配置可参见添加VPN网关路由。
在此情景下,请查看如下配置:
更多IPsec连接协商问题排查,请参见IPsec连接问题排查及解决方案。
当前NAT穿越功能默认不开启。如有需要,您可在创建IPsec连接时,打开NAT穿越(NAT Traversal)开关开启此功能,并且本地IDC侧的VPN网关设备上需同步开启NAT穿越功能。
创建IPsec连接时DPD功能为默认开启状态。如果您手动关闭DPD功能后想要再次开启DPD功能,您可在“修改IPsec连接”页面打开DPD按钮,以开启DPD功能。
DPD本身不要求对端VPN网关具备DPD能力,但是要能做出DPD VendorID应答。如果对端VPN网关无法应答,则会一直触发DPD超时。
因此,使用DPD功能前,请确认对端VPN网关具备DPD VendorID应答的能力。
说明
本文档中用“本端”和“对端”来指代VPN连接的两端。
支持。如果您对端网关出口IP是非固定的IP,您在配置VPN连接时需特别注意以下几点:
0.0.0.0
。IPsec连接绑定中转路由器(TR)场景下,在完成IPsec连接的创建后,平台会自动为该IPsec连接分配一个公网IP作为火山引擎侧的出口IP。
获取方法
若您为IPsec连接配置了健康检查,您可在云监控控制台 > 云产品事件中查看健康检查的事件信息,具体操作可参考查看云产品事件。