You need to enable JavaScript to run this app.
导航
IPsec VPN连接FAQ
最近更新时间:2024.08.30 11:57:21首次发布时间:2021.08.31 10:37:07

什么是IPsec连接?

IPsec连接是指用户网关和VPN网关之间,建立连接形成的通信隧道。用户侧和云上私有网络通过IPsec连接隧道,进行加密通信。

IPsec连接隧道是否会自动建立连接?

您可在创建IPsec连接时,通过配置参数“立即发起协商”来控制是否立即建立连接。

  • 立即发起协商配置为“是”:IPsec连接创建完成后系统立即主动发起协商。
  • 立即发起协商配置为“否”:IPsec连接创建后不会立即建立连接,只有在对端(本地IDC、其他VPC)主动发起SA、执行Ping命令访问云上VPC或者有数据通过时,隧道才被触发建立连接。

IPsec连接通道建立成功后还需要多长时间可用VPN连接功能?

VPN连接功能即开即用,在IPsec通信隧道建立成功后,无需等待,您可立即使用VPN连接功能进行数据传输。

IPsec连接的协商参数有哪些?

  • IKE配置

    配置项
    取值
    默认
    版本支持ikev1、ikev2。ikev2
    协商模式支持main 、aggressive,仅ikev1模式下支持配置此参数。main
    认证算法支持sha1、md5、sha256、sha384、sha512。sha1
    加密算法支持aes、aes192、aes256、des、3des。aes
    DH算法支持group1、group2、group5、group14。group2
    生命周期取值范围900~86400,单位:秒。86400
  • IPsec配置

    配置项
    取值
    默认
    认证算法支持sha1、md5、sha256、sha384、sha512。sha1
    加密算法支持aes、aes192、aes256、des、3des。aes
    DH算法支持disable(不配置)、group1、group2、group5、group14。group2
    生命周期取值范围900~86400,单位:秒。86400

使用IPsec连接有什么注意事项?

  1. 需确保IPsec连接的两端IKE配置和IPsec配置的加密算法、认证算法一致。
  2. IKE密钥交换协议版本推荐使用ikev2,如果必须使用ikev1,需确保IPsec连接的两端IKE配置的生命周期一致。

    说明

    如果使用ikev1,但IKE配置的生命周期配置不同,会出现断流后无法重新建立连接IPsec连接隧道。

使用IPsec连接必须配置VPN网关路由么?

必须配置。
当您创建IPsec连接后,您需要手动添加VPN网关路由条目,实现VPN网关到本地数据中心或其他私有网络的网络互通。路由配置可参见添加VPN网关路由

成功建立IPsec通信隧道,为什么本地数据中心仍无法访问私有网络内的云服务器?

在此情景下,请查看如下配置:

  • 查看本地数据中心的路由和ACL,确认已允许访问私有网络的流量进入IPsec通信隧道。
  • 查看被访问云服务器所属的安全组,确认安全组中的安全组规则已放通本地数据中心的私网网段。

更多IPsec连接协商问题排查,请参见IPsec连接问题排查及解决方案

如何使用NAT穿越功能?

当前NAT穿越功能默认不开启。如有需要,您可在创建IPsec连接时,打开NAT穿越(NAT Traversal)开关开启此功能,并且本地IDC侧的VPN网关设备上需同步开启NAT穿越功能。

如何开启DPD功能?

创建IPsec连接时DPD功能为默认开启状态。如果您手动关闭DPD功能后想要再次开启DPD功能,您可在“修改IPsec连接”页面打开DPD按钮,以开启DPD功能。

使用DPD功能,对端VPN网关需要满足什么条件?

DPD本身不要求对端VPN网关具备DPD能力,但是要能做出DPD VendorID应答。如果对端VPN网关无法应答,则会一直触发DPD超时。
因此,使用DPD功能前,请确认对端VPN网关具备DPD VendorID应答的能力。

说明

本文档中用“本端”和“对端”来指代VPN连接的两端。

  • 本端:火山引擎云上VPC侧。
  • 对端:本地IDC或其他VPC侧。

是否支持配置两个除RemoteID不同其他信息均相同的IPsec连接?

  • ikev2类型:支持。
  • ikev1类型:不支持。如果配置两个除RemoteID不同,其他配置信息完全相同的ikev1类型的IPsec连接,会引起这两个IPsec连接分别反复删除、重连,导致两条IPsec连接通道均无法使用。

若对端为非固定出口IP,是否支持发起IPsec连接?

支持。如果您对端网关出口IP是非固定的IP,您在配置VPN连接时需特别注意以下几点:

  1. 创建用户网关时,IP地址配置为0.0.0.0
  2. 创建IPsec连接时,不支持选择是否立即发起协商,固定为“否”。
    • IKE 版本配置为ikev1
    • IKE 协商模式配置为aggressive
  3. 全部配置完成后,需要从对端向火山引擎侧发起协商请求。
    由于对端IP不固定,因此火山引擎侧无法主动发起协商请求,即使存在从火山引擎侧到对端的流量,火山引擎侧也无法发起协商。
  4. IPsec连接中断后,如需重新发起连接,请重新从对端发起协商请求。
  5. 若对端有多个非固定出口IP需要发起协商,请分别创建多条IPsec连接,以避免抢占。详细操作请参考搭建云上VPC与云下数据中心互通(单个非固定出口IP场景)搭建云上VPC与云下数据中心互通(多个非固定出口IP场景)

如何查看TR类型IPsec连接的公网IP地址?

IPsec连接绑定中转路由器(TR)场景下,在完成IPsec连接的创建后,平台会自动为该IPsec连接分配一个公网IP作为火山引擎侧的出口IP。

获取方法

  1. 登录IPsec连接控制台,选择目标IPsec连接所在地域和项目。
  2. 在IPsec连接列表中,单击目标IPsec连接名称,进入IPsec连接详情页面,然后在“概览”页签下查看分配的公网IP。
    alt

IPsec连接配置了健康检查后,如何查看健康检查事件信息?

若您为IPsec连接配置了健康检查,您可在云监控控制台 > 云产品事件中查看健康检查的事件信息,具体操作可参考查看云产品事件

为什么IPsec连接隧道连通一段时间后忽然不通?

IPsec连接隧道连通一段时间后忽然不通可能是因为IPsec连接隧道长时间连通导致,一般这种情况重置IPsec连接即可,具体操作请参见重置IPsec连接

若重置IPsec连接后,IPsec连接隧道仍然不通,您可根据IPsec连接的健康检查状态及相关上报时间进行排查处理,若均尝试之后仍然无法连通,请提交工单进行处理。

是否支持查看流量TopN的资源信息?如何查看?

支持,根据IPsec连接绑定资源不同,查看流量TopN资源信息的入口有所差别。

IPsec连接绑定资源类型查看位置信息说明
VPN网关VPN网关的“数据页面 > IP流量监控”您可查看VPN网关入云方向、VPN网关出云方向的带宽流量从大到小或从小到大的Top 50 的资源信息,具体操作可参考查看VPN连接监控数据
中转路由器(TR)IPsec连接的“数据页面 > IP流量监控”您可查看IPsec连接入云方、出云方向的带宽流量从大到小或从小到大的Top 50 的资源信息,具体操作可参考查看VPN连接监控数据

说明

IP流量监控仅支持查询7天内的数据,且单次查询最大时间间隔为1天(24小时)。