最近更新时间:2023.05.19 10:13:35
首次发布时间:2021.08.31 10:37:07
IPsec连接是指用户网关和VPN网关之间,建立连接形成的通信隧道。用户侧和云上私有网络通过IPsec连接隧道,进行加密通信。
您可在创建IPsec连接时,通过配置参数“立即发起协商”来控制是否立即建立连接。
Ping命令访问云上VPC或者有数据通过时,隧道才被触发建立连接。VPN连接功能即开即用,在IPsec通信隧道建立成功后,无需等待,您可立即使用VPN连接功能进行数据传输。
IKE配置
配置项 | 取值 | 默认 |
|---|---|---|
| 认证算法 | 支持sha1、md5、sha256、sha384、sha512。 | sha1 |
| 加密算法 | 支持aes、aes192、aes256、des、3des。 | aes |
| DH算法 | 支持group1、group2、group5、group14。 | group2 |
| 协商模式 | 支持main 、aggressive。 | main |
| 版本 | 支持ikev1、ikev2。 | ikev1 |
| 生命周期 | 最大为86400,单位秒。 | 86400 |
IPsec配置
配置项 | 取值 | 默认 |
|---|---|---|
| 认证算法 | 支持sha1、md5、sha256、sha384、sha512。 | sha1 |
| 加密算法 | 支持aes、aes192、aes256、des、3des。 | aes |
| DH算法 | 支持disable(不配置)、group1、group2、group5、group14。 | group2 |
| 生命周期 | 最大为86400,单位秒。 | 86400 |
说明
如果使用ikev1,但IKE配置的生命周期配置不同,会出现断流后无法重新建立连接IPsec连接隧道。
必须配置。
当您创建IPsec连接后,您需要手动添加VPN网关路由条目,实现VPN网关到本地数据中心或其他私有网络的网络互通。路由配置可参见添加VPN网关路由。
在此情景下,请查看如下配置:
更多IPsec连接协商问题排查,请参见IPsec连接问题排查及解决方案。
当前NAT穿越功能默认不开启。如有需要,您可在创建IPsec连接时,打开NAT穿越(NAT Traversal)开关开启此功能,并且本地IDC侧的VPN网关设备上需同步开启NAT穿越功能。
创建IPsec连接时DPD功能为默认开启状态。如果您手动关闭DPD功能后想要再次开启DPD功能,您可在“修改IPsec连接”页面打开DPD按钮,以开启DPD功能。
DPD本身不要求对端VPN网关具备DPD能力,但是要能做出DPD VendorID应答。如果对端VPN网关无法应答,则会一直触发DPD超时。
因此,使用DPD功能前,请确认对端VPN网关具备DPD VendorID应答的能力。
说明
本文档中用“本端”和“对端”来指代VPN连接的两端。