本文为您介绍如何创建IPsec连接。
约束限制
使用同一个VPN网关和相同的Remote ID,仅可创建一条IPsec连接。
前提条件
操作步骤
登录IPsec连接控制台。
在顶部导航栏,选择目标项目和地域。
单击“创建IPsec连接”按钮。
参考下表配置IPsec连接。
基本信息
参数 说明 取值样例 地域 选择IPsec连接所在的地域。不同地域间内网隔离。建议选择距离您业务更近的地域,可以降低网络延时,提高访问速度。 华北2(北京) 名称 设置IPsec连接的名称。 IPsecVPN-dafn 项目 选择新创建IPsec连接所属项目。项目指您日常工作中的一项任务,您可以在同一账户下创建多个项目,并为项目创建/购买云资源。不同项目间,云资源不可共享。 - 选定项目后,新创建的IPsec连接只能被具有该项目权限的用户所使用。
- 若进入创建页面前,您已在顶部导航栏选择“账号全部资源”,则新创建的IPsec连接属于default项目,您可在创建IPsec连接页面更换项目。
- 若进入创建页面前,您已在顶部导航栏选择了具体项目,则新创建的IPsec连接属于该项目。您不可在创建IPsec连接页面更改项目,如需更换项目,请退出创建页面重新选择项目再创建IPsec连接。
- 若无可用项目,您可单击左侧的“创建项目”,创建一个新的项目。
- IPsec连接加入项目后,您可根据实际业务需求把IPsec连接迁出项目,具体请参见项目资源管理。
default 绑定资源
参数 说明 取值样例 绑定资源类型
选择新创建IPsec连接绑定的资源类型。IPsec连接绑定不同类型的资源,所需支付的费用也不同,详细计费信息可参见计费说明。
- VPN网关:IPsec连接绑定VPN网关。
- 中转路由器:选择IPsec连接绑定中转路由器,详细配置指导,请参见通过中转路由器和VPN连接实现不同VPC与IDC之间的独立互通。
- 稍后绑定到中转路由器:IPsec连接暂不绑定资源,后续可单独绑定中转路由器,具体操作可参见创建网络实例连接。
注意
IPsec连接绑定中转路由器场景下,带宽上限为200Mbps,若超出带宽上限可能会出现丢包。
VPN网关
VPN网关
仅“绑定资源类型”为“VPN网关”时出现的参数。选择IPsec连接绑定的VPN网关。
VPNGW-64e0
中转路由器 仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器所在项目和绑定IPsec连接的中转路由器实例。 tr-wecd 可用区 仅“绑定资源类型”为“中转路由器”时出现的参数。选择中转路由器连接点所属的可用区。 可用区A 连接信息
参数 说明 取值样例 规格
仅绑定资源类型为“中转路由器”或“稍后绑定到中转路由器”时出现的参数。选择IPsec连接的规格,支持默认和大型两种规格,不同规格需要支付的IPsec实例费不同。
- 默认规格的IPsec连接,带宽上限为200 Mbps。
- 大型规格的IPsec连接,带宽上限为1 Gbps。
说明
当前大型规格的IPsec连接功能正在邀测中,如需试用,请联系客户经理。
默认
路由模式
选择路由的模式。
- 目的路由:基于目的IP进行路由转发,无需填写用于协商的本端网段和对端网段。
- 感兴趣流:基于目的IP进行路由转发,需要填写用于协商的本端网段和对端网段。
目的路由
本端网段
仅路由模式为“感兴趣流”模式下出现的参数,仅用于IPsec协商。
输入本端云上私有网络中需要使用VPN连接通信的子网网段。192.168.1.0/24
对端网段
仅路由模式为“感兴趣流”模式下出现的参数,仅用于IPsec协商。
输入对端IDC或私有网络中需要使用VPN连接通信的网段。192.168.2.0/24
立即发起协商
IPsec连接配置完成后是否立即生效。
- 是:IPsec连接配置完成后系统立即主动发起协商。
- 否:IPsec连接配置完成后系统不主动发起协商,当有流量通过时被动发起协商。
是
路由传播模式
选择IPsec连接的路由传播模式,支持静态路由和动态路由两种。
- 静态路由:静态路由传播模式下,您需要在IPsec连接创建成功后,手动配置VPN网关路由,具体操作请参见添加VPN网关路由。
- 动态路由:动态路由传播模式下,路由自动同步转发,无需手动配置。
- 动态路由传播模式下“路由模式”推荐使用“目的路由”。如果“路由模式”为“感兴趣流”并开启动态路由传播,仅在感兴趣流网段内的动态路由生效,不在感兴趣流网段内的动态路由不生效。
- 如需使用动态路由传播模式,需确保同一IPsec连接关联资源(VPN网关或中转路由器)的ASN与所选用户网关的ASN不相同。
说明
- IPsec连接使用动态路由传播模式,自治系统中所有的ASN都不建议使用65535和4294967295,如果AS-Path中存在65535或4294967295,相关路由可能会被丢弃。
- 动态路由功能当前为邀测阶段,仅开通后可用,如需试用请联系客户经理。
动态路由
用户网关 选择一个所需的用户网关。如需使用动态路由传播模式,需确保用户网关已配置BGP ANS,如果未配置BGP ASN需重新创建用户网关,具体操作请参考创建用户网关。 CGW-sj2x-hyq3 隧道网段
仅路由传播模式为“动态路由”模式下出现的参数,即本端隧道IP和对端隧道IP所在网段。隧道网段必须同时满足以下3个要求:
- 必须在
169.254.0.0/16网段内。 - 子网掩码为
/30。 - 不可在
169.254.255.0/24网段内。
169.254.1.0/30
本端隧道IP 仅路由传播模式为“动态路由”模式下出现的参数,本端隧道IP是配置在VPN网关上的BGP地址,应属于已配置的隧道网段。 169.254.1.1 对端隧道IP 仅路由传播模式为“动态路由”模式下出现的参数,对端隧道IP是配置在用户设备上的BGP地址,应属于已配置的隧道网段。 169.254.1.2 预共享密钥 填写用于双方VPN设备的IKE协商的密钥,需确保VPN连接双方配置一致。长度不超过128个字符,只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ; 注意
IPsec连接本端和对端的预共享密钥需配置一致,否则无法发起连接。取值样例仅为示例密钥,无实际意义。
We!08sr@D**** 确认密钥 请再次输入预共享密钥。 We!08sr@D**** 连接日志
是否开启IPsec连接日志。开启IPsec连接日志可查看各阶段IPsec连接详细信息,进行故障排查,具体可参见查看IPsec连接日志。
说明
连接日志功能当前仅支持部分地域,实际请以控制台展示为准。
关闭
协议 仅“绑定资源类型”为“中转路由器”或“稍后绑定到中转路由器”时出现的参数。请根据控制台指引查阅并确认相关协议。 勾选 高级配置
参数 说明 取值样例 DPD(Dead Peer Detection)即对等体存活检测功能,默认开启此功能,且默认超时后清除。开启DPD功能,超时后操作如下:
- 超时后清除:DPD超时后清除IKE SA。
- 超时后立即重连:DPD超时后立即尝试重连。
- 超时后等待重连:DPD超时后保持原样,直到新的流量进入后再次建立连接。
超时后清除
IKE配置 IKE策略指定了IPsec通信隧道,在第一阶段即协商阶段的加密、认证算法和协商模式。 版本 IKE密钥交换协议版本,支持ikev1、ikev2。 - 相比于ikev1,ikev2对多网段场景提供了更好的支持。
- 本地网关同时支持ikev1和ikev2时,推荐使用ikev2。
- 感兴趣流模式下,本地数据中心或对端私有网络配置了多网段时,ikev1支持较差,请选择ikev2。
- 对端网关不支持ikev2时,仅可使用ikev1。
ikev2 协商模式 仅IKE密钥交换协议版本为ikev1出现的参数,选择IKE认证的协商模式。 - main:主模式。主模式需要进行三个交换的认证过程,并在每个交换中,会分别进行身份验证和密钥交换,因此主模式安全更高,适用于需要建立长期的VPN连接。
- aggressive:野蛮模式。野蛮模式只需要进行两个交换的认证过程,因此野蛮模式认证速度更快,但安全性与主模式相比较低,适用于建立临时的VPN连接。
main 认证算法 选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。 注意
sha1、md5安全性较低,请谨慎使用。
sha256 加密算法 选择加密算法。支持aes、aes192、aes256、des、3des、sm4。 注意
des、3des安全性较低,请谨慎使用。
aes DH算法 选择DH(Diffie-Hellman)密钥交换算法。支持group1、group2、group5、group14。 注意
group1、group2、group5安全性较低,请谨慎使用。
group14 生命周期 第一阶段协商的生存时间,超过生存时间后,将会重新发起协商。取值范围900~86400,单位:秒,默认为86400。 86400 Local ID IPsec连接本端的标识,用于第一阶段的协商,支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。 - 不填写则默认为当前所选VPN网关的出口IP地址或IPsec连接的公网IP地址。
- 长度不超过100个字符,只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;
-- Remote ID IPsec连接对端的标识,用于第一阶段的协商,支持IP格式和FQDN( Fully Qualified Domain Name)完全合格域名/全称域名格式。 - 不填写则默认为当前所选用户网关的公网IP地址。
- 长度不超过100个字符,只可输入数字、大小写字母以及特殊符号~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;
-- IPsec配置 IPsec配置指定了IPsec通信隧道,在第二阶段即数据传输阶段的加密、认证算法。 认证算法 选择认证哈希算法。支持sha1、md5、sha256、sha384、sha512、sm3。 注意
sha1、md5安全性较低,请谨慎使用。
sha256 加密算法 选择加密算法。支持aes、aes192、aes256、des、3des、sm4。 注意
des、3des安全性较低,请谨慎使用。
aes DH算法 选择DH(Diffie-Hellman)密钥交换算法。支持disable(不配置DH算法)、group1、group2、group5、group14。 - 若客户端不支持PFS(Perfect Forward Secrecy)功能,此处需选择disable。
- 若选择group1、group2、group5、group14,将默认开启PFS功能,对应的客户端也需要开启PFS功能。
group14 生命周期 第二阶段协商的生存时间,超过生存时间后,将会重新发起协商。取值范围900~86400,单位:秒,默认为86400。 86400 NAT穿越 开启或关闭NAT穿越功能。 - NAT穿越(NAT Traversal)功能开启后,IKE协商时不会对UDP端口号进行验证,并且能够发现VPN连接隧道中NAT网关设备。
- 如果创建用户网关时配置的IP地址是通过NAT方式获得,必须开启NAT穿越功能,并同时在本地VPN网关设备上配置NAT穿越功能。
关闭 健康检查 开启或关闭IPsec连接健康检查功能。 - 开启健康检查后VPN网关会按照您的健康检查配置,探测IPsec通道的连通性并展示检查状态。
- 您可在云监控产品控制台查看健康检查恢复、健康检查异常事件详细信息,具体操作请参考查看云产品事件。
开启 源IP 源IP指本地数据中心或对端VPC通过IPsec连接,可以访问的本端VPC侧的IP地址。 - 不支持
169.254.0.0/16、224.0.0.0/3、127.0.0.0/8网段内的IP。 - 当同一个VPN网关下有多个IPsec连接需要开启健康检查时,请使用不同的源IP来区分。
- 请勿使用VPC内已经占用的IP或将要被占用的IP作为源IP。若源IP为VPC内的IP且被使用,会导致经过VPN网关的流量不可达。
100.96.10.10 目的IP 目的IP是本端VPC通过IPsec连接,可以访问的对端数据中心或对端VPC的IP地址。 - 不支持
169.254.0.0/16、224.0.0.0/3、127.0.0.0/8网段内IP。 - 目的IP不可与源IP相同。
100.96.5.10 探测间隔 执行健康检查的时间间隔。 - 取值范围为1~300,单位:秒。
- 默认间隔为3秒,即每3秒对目的IP进行一次健康检查。
3 响应超时 等待健康检查响应的时间。 - 如果目的IP在指定的时间内没有正确响应,则判定为健康检查“异常”。
- 响应超时时间不可大于探测间隔。
2 健康阈值 判断健康检查状态正常的检查次数。 - 连续执行指定次数的健康检查,结果均为“正常”的IPsec连接将被判定为健康检查“正常”。
- 取值范围为1~10,默认为3次。
3 不健康阈值 判断健康检查状态异常的检查次数。 - 连续执行指定次数的健康检查,结果均为“异常”的IPsec连接将被判定为健康检查“异常”。
- 取值范围为1~10,默认为3次。
3
单击“创建”按钮,根据界面提示完成操作。
说明
IPsec连接绑定中转路由器场景下,会自动分配一个公网IP作为火山引擎侧的出口IP,您可在IPsec连接详情页面获取公网IP的信息。
后续操作
添加VPN网关路由:IPsec连接绑定VPN网关场景下,在VPN网关、用户网关、IPsec连接配置完成后,您需配置VPN网关路由。
添加安全组规则:如需从对端访问本端私有网络内的云服务器,您需在待访问云服务器所属安全组添加相关规则,放通对端网段。
配置本地网关路由:VPC侧配置完成后,您需要在配置对端VPN网关设备。您可下载IPsec连接配置文件并保存到本地设备,以便后续在特殊情况下(如:本地无网络环境)配置对端VPN网关设备。
相关文档
- CreateVpnConnection:创建IPsec连接。