您可以通过IPsec服务端,使用手机端自带的VPN应用和阿里云建立VPN连接。

前提条件

您已经创建了VPN网关并开启了SSL-VPN。具体操作,请参见创建VPN网关

创建IPsec服务端

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > IPsec服务端
  3. 在顶部菜单栏,选择IPsec服务端的地域。
  4. IPsec服务端页面,单击创建IPsec服务端
  5. 创建IPsec服务端页面,根据以下信息进行配置,然后单击确定
    配置项 说明
    名称 IPsec服务端的名称。

    名称长度为2~128个字符,以英文大小写字母或中文开头,可包含数字、下划线(_)和短划线(-)。

    VPN网关 IPsec服务端所关联的VPN网关实例。
    说明 IPsec服务端创建完成后,不支持修改关联的VPN网关实例。
    本端网段 客户端通过IPsec服务端要访问的地址段。

    本端网段可以是VPC的网段、交换机的网段、通过物理专线和VPC互连的IDC的网段等。

    单击添加本端网段添加多个本端网段。

    客户端网段 客户端网段是给客户端虚拟网卡分配IP地址的网段,不是指客户端已有的内网网段。当客户端通过IPsec服务端连接访问本端时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。
    注意
    • 请确保客户端网段和本端网段以及VPC中的网段不冲突。
    • 请确保您指定的客户端网段所包含的IP地址个数是您VPN网关中SSL连接数的4倍及以上。

      例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,请确保您指定的客户端网段所包含的IP地址个数是您VPN网关中SSL连接数的4倍及以上。

    预共享密钥 用于IPsec服务端与客户端之间的身份认证。默认情况下系统会随机生成一个16位的随机字符串,您也可以手动指定密钥。
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    高级配置:IKE配置
    版本 IKE协议的版本。
    • ikev1
    • ikev2

    目前系统支持IKE V1和IKE V2,相对于IKE V1版本,IKE V2版本简化了协商过程并且对于多网段的场景提供了更好的支持,所以建议您选择IKE V2版本。

    LocalId IPsec服务端的标识,支持FQDN格式和IP地址格式。默认值为VPN网关的公网IP地址。
    RemoteId 客户端的标识,支持FQDN格式和IP地址格式。默认值为空。

修改IPsec服务端

创建IPsec服务端后,您可以修改IPsec服务端的配置。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > IPsec服务端
  3. 在顶部菜单栏,选择IPsec服务端的地域。
  4. IPsec服务端页面,找到目标IPsec服务端实例,单击操作列的编辑
  5. 编辑IPsec服务端页面,更改IPsec服务端的配置,然后单击确定
    关于参数的说明,请参见创建IPsec服务端

删除IPsec服务端

您可以删除一个不需要的IPsec服务端。在您删除IPsec服务端时,系统会自动清理当前IPsec服务端已连接的客户端。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > IPsec服务端
  3. 在顶部菜单栏,选择IPsec服务端的地域。
  4. IPsec服务端页面,找到目标IPsec服务端实例,单击操作列的删除
  5. 删除Ipsec服务端配置对话框,确认删除信息,然后单击确定