## 约束限制使用同一个VPN网关和相同的Remote ID，仅可创建一条IPsec连接。 ## 前提条件 * 已完成用户网关的创建，具体操作请参见[创建用户网关](https://www.volcengine.com/docs/6455/70566)。 * 已完成待绑定资源的创建，具体操作请参见[创建VPN网关](https://www.volcengine.com/docs/6455/70558)、[创建中转路由器实例](https://www.volcengine.com/docs/6979/155982)。 ## 操作步骤 1. 登录[IPsec连接控制台](https://console.volcengine.com/vpn/vpnConnect)。 2. 在顶部导航栏，选择目标项目和地域。 3. 单击“创建IPsec连接”按钮。 4. 参考下表配置IPsec连接。 * **基本信息** |参数 |说明 ||取值样例 | |---|---|---|---| |地域 |选择IPsec连接所在的地域。不同地域间内网隔离。建议选择距离您业务更近的地域，可以降低网络延时，提高访问速度。 ||华北2(北京) | |名称 |设置IPsec连接的名称。 ||IPsecVPN\-dafn | |所属项目 |选择新创建IPsec连接所属项目。项目指您日常工作中的一项任务，您可以在同一账户下创建多个项目，并为项目创建/购买云资源。不同项目间，云资源不可共享。||default |\ | || | |\ | |* 选定项目后，新创建的IPsec连接只能被具有该项目权限的用户所使用。| | |\ | |* 若进入创建页面前，您已在顶部导航栏选择“账号全部资源”，则新创建的IPsec连接属于default项目，您可在创建IPsec连接页面更换项目。| | |\ | |* 若进入创建页面前，您已在顶部导航栏选择了具体项目，则新创建的IPsec连接属于该项目。您不可在创建IPsec连接页面更改项目，如需更换项目，请退出创建页面重新选择项目再创建IPsec连接。| | |\ | |* 若无可用项目，您可单击左侧的“创建项目”，创建一个新的项目。| | |\ | |* IPsec连接加入项目后，您可根据实际业务需求把IPsec连接迁出项目，具体请参见[项目资源管理](https://www.volcengine.com/docs/6649/94337)。 | | | * **绑定资源** |参数 |说明 ||取值样例 | |---|---|---|---| |绑定资源类型 |选择新创建IPsec连接绑定的资源类型。IPsec连接绑定不同类型的资源，所需支付的费用也不同，详细计费信息可参见[计费说明](https://www.volcengine.com/docs/6455/79171)。||VPN网关 |\ | || | |\ | |* **VPN网关**：IPsec连接绑定VPN网关。| | |\ | |* **中转路由器**：选择IPsec连接绑定中转路由器，详细配置指导，请参见[通过中转路由器和VPN连接实现不同VPC与IDC之间的独立互通](https://www.volcengine.com/docs/6979/1130946)。| | |\ | |* **稍后绑定到中转路由器**：IPsec连接暂不绑定资源，后续可单独绑定中转路由器，具体操作可参见[创建网络实例连接](https://www.volcengine.com/docs/6979/156032)。| | |\ | || | |\ | |:::warning| | |\ | |IPsec连接绑定中转路由器场景下，带宽上限为200Mbps，若超出带宽上限可能会出现丢包。| | |\ | || | |\ | |:::| | | |VPN网关 |仅“绑定资源类型”为“VPN网关”时出现的参数。选择IPsec连接绑定的VPN网关。||VPNGW\-64e0 |\ | || | |\ | |* 如需使用动态路由传播模式，需确保VPN网关已更新为最新版本，具体操作请参见[升级VPN网关](https://www.volcengine.com/docs/6455/148267)。| | |\ | |* 如需使用动态路由传播模式，需确保VPN网关已配置BGP ANS，具体操作请参见[添加BGP ASN](https://www.volcengine.com/docs/6455/70559#%E6%B7%BB%E5%8A%A0bgp-asn)。 | | | |中转路由器 |仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器所在项目和绑定IPsec连接的中转路由器实例。 ||tr\-wecd | |可用区 |仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器所属的可用区。 ||可用区A | * **连接信息** |参数 |说明 ||取值样例 | |---|---|---|---| |规格 |仅绑定资源类型为“中转路由器”或“稍后绑定到中转路由器”时出现的参数。选择IPsec连接的规格，支持**默认**和**大型**两种规格，不同规格需要支付的IPsec实例费不同。||默认 |\ | || | |\ | |* **默认**规格的IPsec连接，带宽上限为200 Mbps。| | |\ | |* **大型**规格的IPsec连接，带宽上限为1 Gbps。| | |\ | | :::tip| | |\ | | 当前**大型**规格的IPsec连接功能正在邀测中，如需试用，请联系客户经理。| | |\ | || | |\ | | :::| | | |路由模式 |选择路由的模式。||目的路由 |\ | || | |\ | |* 目的路由：基于目的IP进行路由转发，无需填写用于协商的本端网段和对端网段。| | |\ | |* 感兴趣流：基于目的IP进行路由转发，需要填写用于协商的本端网段和对端网段。 | | | |本端网段 |仅路由模式为“感兴趣流”模式下出现的参数，仅用于IPsec协商。||192.168.1.0/24 |\ | |输入本端云上私有网络中需要使用VPN连接通信的子网网段。 | | | |对端网段 |仅路由模式为“感兴趣流”模式下出现的参数，仅用于IPsec协商。||192.168.2.0/24 |\ | |输入对端IDC或私有网络中需要使用VPN连接通信的网段。 | | | |立即发起协商 |IPsec连接配置完成后是否立即生效。||是 |\ | || | |\ | |* 是：IPsec连接配置完成后系统立即主动发起协商。| | |\ | |* 否：IPsec连接配置完成后系统不主动发起协商，当有流量通过时被动发起协商。 | | | |路由传播模式 |选择IPsec连接的路由传播模式，支持静态路由和动态路由两种。||动态路由 |\ | || | |\ | |* **静态路由**：静态路由传播模式下，您需要在IPsec连接创建成功后，手动配置VPN网关路由，具体操作请参见[添加VPN网关路由](https://www.volcengine.com/docs/6455/70563)。| | |\ | |* **动态路由**：动态路由传播模式下，路由自动同步转发，无需手动配置。| | |\ | | * 动态路由传播模式下“路由模式”推荐使用“目的路由”。如果“路由模式”为“感兴趣流”并开启动态路由传播，仅在感兴趣流网段内的动态路由生效，不在感兴趣流网段内的动态路由不生效。| | |\ | | * **如需使用动态路由传播模式，需确保同一IPsec连接关联资源（VPN网关或中转路由器）的ASN与所选用户网关的ASN不相同。**| | |\ | | :::tip| | |\ | | * IPsec连接使用动态路由传播模式，自治系统中所有的ASN都不建议使用65535和4294967295，如果AS\-Path中存在65535或4294967295，相关路由可能会被丢弃。| | |\ | | * 动态路由功能当前为邀测阶段，仅开通后可用，如需试用请联系客户经理。| | |\ | || | |\ | | :::| | | |用户网关 |选择一个所需的用户网关。如需使用动态路由传播模式，需确保用户网关已配置BGP ANS，如果未配置BGP ASN需重新创建用户网关，具体操作请参考[创建用户网关](https://www.volcengine.com/docs/6455/70566)。 ||CGW\-sj2x\-hyq3 | |隧道网段 |仅路由传播模式为“动态路由”模式下出现的参数，即本端隧道IP和对端隧道IP所在网段。隧道网段必须同时满足以下3个要求：||169.254.1.0/30 |\ | || | |\ | |* 必须在`169.254.0.0/16`网段内。| | |\ | |* 子网掩码为`/30`。| | |\ | |* 不可在`169.254.255.0/24`网段内。 | | | |本端隧道IP |仅路由传播模式为“动态路由”模式下出现的参数，本端隧道IP是配置在VPN网关上的BGP地址，应属于已配置的隧道网段。 ||169.254.1.1 | |对端隧道IP |仅路由传播模式为“动态路由”模式下出现的参数，对端隧道IP是配置在用户设备上的BGP地址，应属于已配置的隧道网段。 ||169.254.1.2 | |预共享密钥 |填写用于双方VPN设备的IKE协商的密钥，需确保VPN连接双方配置一致。长度不超过128个字符，只可输入数字、大小写字母以及特殊符号~ ` \| ! @ # $ % ^ ( ) \- _ + = [ ] { } \ , . / : ;||We!08sr@D\*\*\*\* |\ | |:::warning| | |\ | |IPsec连接本端和对端的预共享密钥需配置一致，否则无法发起连接。取值样例仅为示例密钥，无实际意义。| | |\ | || | |\ | |:::| | | |确认密钥 |请再次输入预共享密钥。 ||We!08sr@D\*\*\*\* | |连接日志 |是否开启IPsec连接日志。开启IPsec连接日志可查看各阶段IPsec连接详细信息，进行故障排查，具体可参见[查看IPsec连接日志](https://www.volcengine.com/docs/6455/176019)。||关闭 |\ | |:::tip| | |\ | |连接日志功能当前仅支持部分地域，实际请以控制台展示为准。| | |\ | || | |\ | |:::| | | |协议 |仅“绑定资源类型”为“中转路由器”或“稍后绑定到中转路由器”时出现的参数。请根据控制台指引查阅并确认相关协议。 ||勾选 | * **高级配置** |参数 |说明 ||取值样例 | |---|---|---|---| |[DPD](https://www.volcengine.com/docs/6455/70541#dpd) |DPD（Dead Peer Detection）即对等体存活检测功能，默认开启此功能，且默认超时后清除。开启DPD功能，超时后操作如下：||超时后清除 |\ | || | |\ | |* 超时后清除：DPD超时后清除IKE SA。| | |\ | |* 超时后立即重连：DPD超时后立即尝试重连。| | |\ | |* 超时后等待重连：DPD超时后保持原样，直到新的流量进入后再次建立连接。 | | | |IKE配置 |IKE策略指定了IPsec通信隧道，在第一阶段即协商阶段的加密、认证算法和协商模式。 ||| |^^|版本 |IKE密钥交换协议版本，支持ikev1、ikev2。|ikev2 |\ | | || |\ | | |* 相比于ikev1，ikev2对多网段场景提供了更好的支持。| |\ | | |* 本地网关同时支持ikev1和ikev2时，推荐使用ikev2。| |\ | | |* 感兴趣流模式下，本地数据中心或对端私有网络配置了多网段时，ikev1支持较差，请选择ikev2。| |\ | | |* 对端网关不支持ikev2时，仅可使用ikev1。 | | |^^|协商模式 |仅IKE密钥交换协议版本为ikev1出现的参数，选择IKE认证的协商模式。|main |\ | | || |\ | | |* main：主模式。主模式需要进行三个交换的认证过程，并在每个交换中，会分别进行身份验证和密钥交换，因此主模式安全更高，适用于需要建立长期的VPN连接。| |\ | | |* aggressive：野蛮模式。野蛮模式只需要进行两个交换的认证过程，因此野蛮模式认证速度更快，但安全性与主模式相比较低，适用于建立临时的VPN连接。 | | |^^|认证算法 |选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。|sha256 |\ | | |:::warning| |\ | | |sha1、md5安全性较低，请谨慎使用。| |\ | | || |\ | | |:::| | |^^|加密算法 |选择加密算法。支持aes、aes192、aes256、des、3des、sm4。|aes |\ | | |:::warning| |\ | | |des、3des安全性较低，请谨慎使用。| |\ | | || |\ | | |:::| | |^^|DH算法 |选择DH（Diffie\-Hellman）密钥交换算法。支持group1、group2、group5、group14。|group14 |\ | | |:::warning| |\ | | |group1、group2、group5安全性较低，请谨慎使用。| |\ | | || |\ | | |:::| | |^^|生命周期 |第一阶段协商的生存时间，超过生存时间后，将会重新发起协商。取值范围900～86400，单位：秒，默认为86400。 |86400 | |^^|Local ID |IPsec连接本端的标识，用于第一阶段的协商，支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。|\-\- |\ | | || |\ | | |* 不填写则默认为当前所选[VPN网关的出口IP地址](https://www.volcengine.com/docs/6455/70586#%E5%A6%82%E4%BD%95%E6%9F%A5%E7%9C%8Bvpn%E7%BD%91%E5%85%B3%E7%9A%84%E5%87%BA%E5%8F%A3ip%E5%9C%B0%E5%9D%80%EF%BC%9F)或[IPsec连接的公网IP地址](https://www.volcengine.com/docs/6455/70588#%E5%A6%82%E4%BD%95%E6%9F%A5%E7%9C%8Btr%E7%B1%BB%E5%9E%8Bipsec%E8%BF%9E%E6%8E%A5%E7%9A%84%E5%85%AC%E7%BD%91ip%E5%9C%B0%E5%9D%80%EF%BC%9F)。| |\ | | |* 长度不超过100个字符，只可输入数字、大小写字母以及特殊符号~ ` \| ! @ # $ % ^ ( ) \- _ + = [ ] { } \ , . / : ; | | |^^|Remote ID |IPsec连接对端的标识，用于第一阶段的协商，支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。|\-\- |\ | | || |\ | | |* 不填写则默认为当前所选用户网关的公网IP地址。| |\ | | |* 长度不超过100个字符，只可输入数字、大小写字母以及特殊符号~ ` \| ! @ # $ % ^ ( ) \- _ + = [ ] { } \ , . / : ; | | |IPsec配置 |IPsec配置指定了IPsec通信隧道，在第二阶段即数据传输阶段的加密、认证算法。 ||| |^^|认证算法 |选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。|sha256 |\ | | |:::warning| |\ | | |sha1、md5安全性较低，请谨慎使用。| |\ | | || |\ | | |:::| | |^^|加密算法 |选择加密算法。支持aes、aes192、aes256、des、3des、sm4。|aes |\ | | |:::warning| |\ | | |des、3des安全性较低，请谨慎使用。| |\ | | || |\ | | |:::| | |^^|DH算法 |选择DH（Diffie\-Hellman）密钥交换算法。支持disable（不配置DH算法）、group1、group2、group5、group14。|group14 |\ | | || |\ | | |* 若客户端不支持[PFS](https://www.volcengine.com/docs/6455/70541#pfs)（Perfect Forward Secrecy）功能，此处需选择disable。| |\ | | |* 若选择group1、group2、group5、group14，将默认开启PFS功能，对应的客户端也需要开启PFS功能。 | | |^^|生命周期 |第二阶段协商的生存时间，超过生存时间后，将会重新发起协商。取值范围900～86400，单位：秒，默认为86400。 |86400 | |[NAT穿越](https://www.volcengine.com/docs/6455/70541#nat%E7%A9%BF%E8%B6%8A) |开启或关闭NAT穿越功能。||关闭 |\ | || | |\ | |* NAT穿越（NAT Traversal）功能开启后，IKE协商时不会对UDP端口号进行验证，并且能够发现VPN连接隧道中NAT网关设备。| | |\ | |* 如果[创建用户网关](https://www.volcengine.com/docs/6455/70566)时配置的IP地址是通过NAT方式获得，必须开启NAT穿越功能，并同时在本地VPN网关设备上配置NAT穿越功能。 | | | |健康检查 |开启或关闭IPsec连接健康检查功能。||开启 |\ | || | |\ | |* 开启健康检查后VPN网关会按照您的健康检查配置，探测IPsec通道的连通性并展示检查状态。| | |\ | |* 您可在云监控产品控制台查看**健康检查恢复**、**健康检查异常**事件详细信息，具体操作请参考[查看云产品事件](https://www.volcengine.com/docs/6408/112244)。 | | | |^^|源IP |源IP指本地数据中心或对端VPC通过IPsec连接，可以访问的本端VPC侧的IP地址。|100.96.10.10 |\ | | || |\ | | |* 不支持`169.254.0.0/16`、`224.0.0.0/3`、`127.0.0.0/8`网段内的IP。| |\ | | |* 当同一个VPN网关下有多个IPsec连接需要开启健康检查时，请使用不同的源IP来区分。| |\ | | |* 请勿使用VPC内已经占用的IP或将要被占用的IP作为源IP。若源IP为VPC内的IP且被使用，会导致经过VPN网关的流量不可达。 | | |^^|目的IP |目的IP是本端VPC通过IPsec连接，可以访问的对端数据中心或对端VPC的IP地址。|100.96.5.10 |\ | | || |\ | | |* 不支持`169.254.0.0/16`、`224.0.0.0/3`、`127.0.0.0/8`网段内IP。| |\ | | |* 目的IP不可与源IP相同。 | | |^^|探测间隔 |执行健康检查的时间间隔。|3 |\ | | || |\ | | |* 取值范围为1～300，单位：秒。| |\ | | |* 默认间隔为3秒，即每3秒对目的IP进行一次健康检查。 | | |^^|响应超时 |等待健康检查响应的时间。|2 |\ | | || |\ | | |* 如果目的IP在指定的时间内没有正确响应，则判定为健康检查“异常”。| |\ | | |* 响应超时时间不可大于探测间隔。 | | |^^|健康阈值 |判断健康检查状态正常的检查次数。|3 |\ | | || |\ | | |* 连续执行指定次数的健康检查，结果均为“正常”的IPsec连接将被判定为健康检查“正常”。| |\ | | |* 取值范围为1～10，默认为3次。 | | |^^|不健康阈值 |判断健康检查状态异常的检查次数。|3 |\ | | || |\ | | |* 连续执行指定次数的健康检查，结果均为“异常”的IPsec连接将被判定为健康检查“异常”。| |\ | | |* 取值范围为1～10，默认为3次。 | | * **高级选项** |参数 |说明 |取值样例 | |---|---|---| |标签 |标签由标签键（Key）和标签值（Value）两部分组成，可作为标记对IPsec连接进行分类和搜索。[了解更多](https://www.volcengine.com/docs/6455/128919)|key:test |\ | || |\ | |* 单击“添加标签”可按需添加多个标签。单次操作最多可添加20个标签，单个IPsec连接最多可添加50个标签。| |\ | |* 同一IPsec连接多个标签的标签键（Key）不可重复，且每个标签的标签键（Key），只能存在一个标签值（Value）。| |\ | |* 设置标签键（Key）和标签值（Value）时应区分大小写，如Key=tag和Key=Tag是两个不同的标签键。 | | 5. 单击“创建”按钮，根据界面提示完成操作。 :::tip IPsec连接绑定中转路由器场景下，会自动分配一个公网IP作为火山引擎侧的出口IP，您可在IPsec连接详情页面“绑定资源”区域获取公网IP的信息。 ::: ## 后续操作 * [添加VPN网关路由](https://www.volcengine.com/docs/6455/70563)：IPsec连接绑定VPN网关场景下，在VPN网关、用户网关、IPsec连接配置完成后，您需配置VPN网关路由。 * [添加安全组规则](https://www.volcengine.com/docs/6401/68895)：如需从对端访问本端私有网络内的云服务器，您需在待访问云服务器所属安全组添加相关规则，放通对端网段。 * [配置本地网关路由](https://www.volcengine.com/docs/6455/70585)：VPC侧配置完成后，您需要在配置对端VPN网关设备。您可[下载IPsec连接配置](https://www.volcengine.com/docs/6455/114013)文件并保存到本地设备，以便后续在特殊情况下（如：本地无网络环境）配置对端VPN网关设备。 ## 相关文档 * [CreateVpnConnection](https://www.volcengine.com/docs/6455/108347)：创建IPsec连接。