调用CreateVpnConnection接口创建IPsec连接。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

请求参数

名称 类型 是否必选 示例值 描述
Action String CreateVpnConnection

系统规定参数。取值:CreateVpnConnection

RegionId String cn-shanghai

IPsec连接所在的地域ID。您可以通过调用DescribeRegions接口获取地域ID。

ClientToken String 02fb3da4-130e-11e9-8e44-001****

客户端Token,用于保证请求的幂等性。

从您的客户端生成一个参数值,确保不同请求间该参数值唯一。ClientToken只支持ASCII字符。

说明 若您未指定,则系统自动使用API请求的RequestId作为ClientToken标识。每次API请求的RequestId可能不一样。
CustomerGatewayId String cgw-p0w2jemrcj5u61un8****

用户网关的ID。

VpnGatewayId String vpn-bp1q8bgx4xnkm****

VPN网关实例ID。

Name String IPsec

IPsec连接的名称。

长度为2~128个字符,必须以字母或中文开头,可包含数字、半角句号(.)、下划线(_)和短划线(-),但不能以http://https://开头。

LocalSubnet String 10.10.1.0/24,10.10.2.0/24

需要和本地数据中心互连的VPC侧的网段,用于第二阶段协商。

多个网段之间用半角逗号(,)分隔,例如:192.168.1.0/24,192.168.2.0/24。

关于IPsec连接路由模式的说明:

  • 如果LocalSubnetRemoteSubnet均输入为0.0.0.0/0,则表示您使用目的路由模式。
  • 如果LocalSubnetRemoteSubnet均输入具体的网段,则表示您使用感兴趣流模式。
RemoteSubnet String 10.10.3.0/24,10.10.4.0/24

本地数据中心侧的网段,用于第二阶段协商。

多个网段之间用半角逗号(,)分隔,例如:192.168.3.0/24,192.168.4.0/24。

关于IPsec连接路由模式的说明:

  • 如果LocalSubnetRemoteSubnet均输入为0.0.0.0/0,则表示您使用目的路由模式。
  • 如果LocalSubnetRemoteSubnet均输入具体的网段,则表示您使用感兴趣流模式。
EffectImmediately Boolean false

选择IPsec连接的配置是否立即生效。取值:

  • true:是,配置完成后系统立即进行IPsec协议协商。
  • false(默认值):否,当有流量进入时系统才进行IPsec协议协商。
IkeConfig String {"Psk":"1234****","IkeVersion":"ikev1","IkeMode":"main","IkeEncAlg":"aes","IkeAuthAlg":"sha1","IkePfs":"group2","IkeLifetime":86400,"LocalIdIPsec":"47.XX.XX.1","RemoteId":"47.XX.XX.2"}

第一阶段协商的配置信息:

  • IkeConfig.Psk:预共享密钥,用于VPN网关与本地数据中心之间的身份认证。密钥长度为1~100个字符。

    若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。您可以调用DescribeVpnConnection接口查询系统自动生成的预共享密钥。
    说明 IPsec连接侧的预共享密钥需和本地数据中心侧的认证密钥一致,否则本地数据中心和VPN网关之间无法建立连接。
  • IkeConfig.IkeVersion:IKE协议的版本。取值:ikev1ikev2。默认值:ikev1
  • IkeConfig.IkeMode:IKE V1版本的协商模式。取值:mainaggressive。默认值:main
  • IkeConfig.IkeEncAlg:第一阶段协商的加密算法。取值:aesaes192aes256des3des。默认值:aes
  • IkeConfig.IkeAuthAlg:第一阶段协商的认证算法。取值:md5sha1。默认值:md5
  • IkeConfig.IkePfs:第一阶段协商使用的Diffie-Hellman密钥交换算法。取值:group1group2group5group14。默认值:group2
  • IkeConfig.IkeLifetime:第一阶段协商出的SA的生存周期。单位:秒。取值范围:0~86400。默认值:86400
  • IkeConfig.LocalIdIPsec:VPN网关的标识,长度限制为100个字符,默认值为VPN网关的IP地址。
  • IkeConfig.RemoteId:用户网关的标识,长度限制为100个字符,默认值为用户网关的IP地址。
IpsecConfig String {"IpsecEncAlg":"aes","IpsecAuthAlg":"sha1","IpsecPfs":"group2","IpsecLifetime":86400}

第二阶段协商的配置信息:

  • IpsecConfig.IpsecEncAlg:第二阶段协商的加密算法。取值:aesaes192aes256des3des。默认值:aes
  • IpsecConfig. IpsecAuthAlg:第二阶段协商的认证算法。取值:md5sha1。默认值:md5
  • IpsecConfig. IpsecPfs:第二阶段协商使用的Diffie-Hellman密钥交换算法。取值:disabledgroup1group2group5group14。默认值:group2。 - IpsecConfig. IpsecLifetime:第二阶段协商出的SA的生存周期。单位:秒。取值范围:0~86400。默认值:86400
HealthCheckConfig String {"enable":"true","dip":"192.168.10.1","sip":"10.10.1.1","interval":"3","retry":"3"}

健康检查配置信息:

  • HealthCheckConfig.enable:是否开启健康检查,取值:truefalse(默认值)。
  • HealthCheckConfig.dip:健康检查的目的IP地址。
  • HealthCheckConfig.sip:健康检查的源IP地址。
  • HealthCheckConfig.interval:健康检查的重试间隔时间,单位:秒。
  • HealthCheckConfig.retry:健康检查的重试发包次数。
AutoConfigRoute Boolean true

是否自动配置路由。取值:

  • true(默认值):自动配置路由。
  • false:不自动配置路由。
EnableDpd Boolean true

是否开启DPD(对等体存活检测)功能。取值:

  • true(默认值):开启DPD功能。IPsec发起端会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。
  • false:不开启DPD功能,IPsec发起端不会发送DPD探测报文。
EnableNatTraversal Boolean true

是否开启NAT穿越功能。取值:

  • true(默认值):开启NAT穿越功能。开启后,IKE协商过程会删除对UDP端口号的验证过程,同时实现对VPN隧道中NAT网关设备的发现功能。
  • false:不开启NAT穿越功能。
BgpConfig String {"EnableBgp":"true","LocalAsn":"45104","TunnelCidr":"169.254.11.0/30","LocalBgpIp":"169.254.11.1"}

BGP的配置信息:

  • BgpConfig.EnableBgp:是否开启BGP功能。取值:truefalse(默认值)。
  • BgpConfig.LocalAsn:阿里云侧的自治系统号。自治系统号取值范围:1~4294967295。默认值:45104
  • BgpConfig.TunnelCidr:IPsec隧道网段。该网段需是一个在169.254.0.0/16内的掩码长度为30的网段。
  • LocalBgpIp:阿里云侧的BGP地址。该地址为IPsec隧道网段内的一个IP地址。
说明
  • 当您的VPN网关启用BGP动态路由协议时需要配置该参数。
  • 建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。
RemoteCaCertificate String c20ycDI1NnYxIENBIChURVNUIFN****

国密型VPN网关创建IPsec连接时,对端的CA证书。

  • 对于国密型VPN网关,创建IPsec连接时,此项必填。
  • 对于普通型VPN网关,此项需要为空。

返回数据

名称 类型 示例值 描述
RequestId String 082AD562-B8DB-4BB2-861F-DA1FCA01FD76

请求ID。

VpnConnectionId String vco-bp15oes1py4i6****

IPsec连接的ID。

Name String test

IPsec连接的名称。

CreateTime Long 1544666102000

IPsec连接的创建时间戳。单位:毫秒。

时间戳的格式采用Unix时间戳,表示从格林威治时间1970年01月01日00时00分00秒至创建IPsec连接时的总时长。

示例

请求示例

http(s)://[Endpoint]/?Action=CreateVpnConnection
&RegionId=cn-shanghai
&ClientToken=02fb3da4-130e-11e9-8e44-001****
&CustomerGatewayId=cgw-p0w2jemrcj5u61un8****
&VpnGatewayId=vpn-bp1q8bgx4xnkm****
&Name=IPsec
&LocalSubnet=10.10.1.0/24,10.10.2.0/24
&RemoteSubnet=10.10.3.0/24,10.10.4.0/24
&EffectImmediately=false
&IkeConfig={"Psk":"1234****","IkeVersion":"ikev1","IkeMode":"main","IkeEncAlg":"aes","IkeAuthAlg":"sha1","IkePfs":"group2","IkeLifetime":86400,"LocalIdIPsec":"47.XX.XX.1","RemoteId":"47.XX.XX.2"}
&IpsecConfig={"IpsecEncAlg":"aes","IpsecAuthAlg":"sha1","IpsecPfs":"group2","IpsecLifetime":86400}
&HealthCheckConfig={"enable":"true","dip":"192.168.10.1","sip":"10.10.1.1","interval":"3","retry":"3"}
&AutoConfigRoute=true
&EnableDpd=true
&EnableNatTraversal=true
&BgpConfig={"EnableBgp":"true","LocalAsn":"45104","TunnelCidr":"169.254.11.0/30","LocalBgpIp":"169.254.11.1"}
&公共请求参数

正常返回示例

XML格式

HTTP/1.1 200 OK
Content-Type:application/xml

<CreateVpnConnectionResponse>
    <RequestId>082AD562-B8DB-4BB2-861F-DA1FCA01FD76</RequestId>
    <VpnConnectionId>vco-bp15oes1py4i6****</VpnConnectionId>
    <Name>test</Name>
    <CreateTime>1544666102000</CreateTime>
</CreateVpnConnectionResponse>

JSON格式

HTTP/1.1 200 OK
Content-Type:application/json

{
  "RequestId" : "082AD562-B8DB-4BB2-861F-DA1FCA01FD76",
  "VpnConnectionId" : "vco-bp15oes1py4i6****",
  "Name" : "test",
  "CreateTime" : 1544666102000
}

错误码

HttpCode 错误码 错误信息 描述
400 Resource.QuotaFull The quota of resource is full 资源配额已达上限。
400 InvalidVpnConnection.AlreadyExists Vpn connection already exists. VPN 连接已经存在,不用再次添加。
400 VpnGateway.Configuring The specified service is configuring. 服务正在配置中,请您稍后再试。
400 VpnGateway.FinancialLocked The specified service is financial locked. 该服务已欠费,请您先充值再操作。
400 VpnRouteEntry.Conflict The specified route entry has conflict. 路由条目存在冲突。
400 QuotaExceeded.PolicyBasedRoute The maximum number of policy-based routes is exceeded. Existing routes: %s. Routes to be created: %s. Maximum routes: %s. 策略路由条数已达上限,当前已有%s条,本次将创建%s条,上限为%s条。
400 IllegalParam.LocalSubnet The specified "LocalSubnet" (%s) is invalid. 本端网段(%s)不合法。
400 IllegalParam.RemoteSubnet The specified "RemoteSubnet" (%s) is invalid. 对端网段(%s)不合法。
400 OperationFailed.CenLevelNotSupport When the VPC to which the VPN gateway belongs is attached to a FULL-mode CEN, the VPN gateway cannot enable BGP. 当VPN网关所属VPC加入到的CEN开启了FULL模式时,VPN网关不能开启BGP。
403 Forbbiden.SubUser User not authorized to operate on the specified resource as your account is created by another user. 您没有权限操作该资源,请您申请操作权限后再试。
403 Forbidden User not authorized to operate on the specified resource. 您没有权限操作指定资源,请申请权限后再操作。
404 InvalidCustomerGatewayInstanceId.NotFound The specified customer gateway instance id does not exist. 指定的用户网关实例不存在,请您检查用户网关实例ID是否正确。
404 InvalidVpnGatewayInstanceId.NotFound The specified vpn gateway instance id does not exist. 指定的 VPN 网关不存在,请您检查 VPN 网关是否正确。

访问错误中心查看更多错误码。