IPsec连接绑定转发路由器场景下,IPsec-VPN连接已升级为双隧道模式,不再支持新建单隧道模式的IPsec-VPN连接。您可以参见本文管理、修改存量的单隧道模式的IPsec-VPN连接。
修改IPsec连接
如果IPsec连接已绑定转发路由器实例,不支持修改IPsec连接关联的转发路由器实例、部署的可用区以及网关类型,您可以修改IPsec连接关联的用户网关、路由模式、预共享密钥、加密配置等信息。
如果IPsec连接当前未绑定任何资源,不支持修改IPsec连接的网关类型,您可以修改IPsec连接的用户网关、路由模式、预共享密钥、加密配置等信息。
登录VPN网关管理控制台。
在左侧导航栏,选择。
- 在顶部菜单栏,选择IPsec连接的地域。
在IPsec连接页面,找到目标IPsec连接,在操作列单击编辑。
在编辑IPsec连接页面,修改IPsec连接的名称、加密配置、互通网段等配置,然后单击确定。
基本配置
配置项
说明
路由模式
选择IPsec连接的路由模式。
目的路由模式(默认值):基于目的IP地址路由和转发流量。
感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。
选择感兴趣流模式后,您需要配置本端网段和对端网段。IPsec连接配置完成后,系统自动在IPsec连接下的目的路由表中添加目的路由,路由默认会被发布至IPsec连接关联的转发路由器的路由表中。
本端网段
路由模式选择感兴趣流模式后,输入需要和本地数据中心互通的阿里云侧的网段。第二阶段协商时会协商两端的感兴趣流,阿里云侧本端网段和本地数据中心侧对端网段建议保持一致。
单击文本框右侧的
图标,可添加多个需要和本地数据中心互通的阿里云侧的网段。说明如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
对端网段
路由模式选择感兴趣流模式后,输入需要和阿里云互通的本地数据中心侧的网段。第二阶段协商时会协商两端的感兴趣流,阿里云侧对端网段和本地数据中心侧本端网段建议保持一致。
单击文本框右侧的
图标,可添加多个需要和阿里云侧互通的本地数据中心侧的网段。说明如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2。
立即生效
选择IPsec连接的配置是否立即生效。
是(默认值):配置完成后系统立即进行IPsec协议协商。
否:当有流量进入时系统才进行IPsec协议协商。
用户网关
选择IPsec连接关联的用户网关。
预共享密钥
输入IPsec连接的认证密钥,用于转发路由器实例与本地数据中心之间的身份认证。
密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。重要IPsec连接两侧配置的预共享密钥需一致,否则系统无法正常建立IPsec连接。
启用BGP
如果IPsec连接需要使用BGP路由协议,需要打开BGP功能的开关,系统默认关闭BGP功能。
使用BGP动态路由功能前,建议您先了解BGP动态路由功能工作机制和使用限制。更多信息,请参见配置BGP动态路由。
本端自治系统号
如果IPsec连接启用了BGP功能,需输入IPsec连接阿里云侧的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295。
支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。
例如输入123.456,则表示自治系统号:123*65536+456=8061384。
说明建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。
加密配置
配置
说明
加密配置:IKE配置
版本
选择IKE协议的版本。
ikev1
ikev2(默认值)
相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,推荐选择IKEv2版本。
协商模式
选择协商模式。
main(默认值):主模式,协商过程安全性高。
aggressive:野蛮模式,协商快速且协商成功率高。
协商成功后两种模式的信息传输安全性相同。
加密算法
选择第一阶段协商使用的加密算法。
加密算法支持aes(aes128,默认值)、aes192、aes256、des和3des。
说明推荐使用aes、aes192、aes256加密算法,不推荐使用des、3des加密算法。
aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。
3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
认证算法
选择第一阶段协商使用的认证算法。
认证算法支持sha1(默认值)、md5、sha256、sha384和sha512。
DH分组
选择第一阶段协商的Diffie-Hellman密钥交换算法。
group1:表示DH分组中的DH1。
group2(默认值):表示DH分组中的DH2。
group5:表示DH分组中的DH5。
group14:表示DH分组中的DH14。
SA生存周期(秒)
设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400。
LocalId
为IPsec连接阿里云侧的标识,用于第一阶段的协商。默认值为IPsec连接的网关IP地址。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为IPsec连接阿里云侧的标识。
如果LocalId使用了FQDN格式,例如输入example.aliyun.com,则本地数据中心侧IPsec连接的对端ID需与LocalId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
RemoteId
为IPsec连接本地数据中心侧的标识,用于第一阶段的协商。默认值为用户网关的IP地址。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地数据中心,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为IPsec连接本地数据中心侧的标识。
如果RemoteId使用了FQDN格式,例如输入example.aliyun.com,则本地数据中心侧IPsec连接的本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
加密配置:IPsec配置
加密算法
选择第二阶段协商的加密算法。
加密算法支持aes(aes128,默认值)、aes192、aes256、des和3des。
说明推荐使用aes、aes192、aes256加密算法,不推荐使用des、3des加密算法。
aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。
3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
认证算法
选择第二阶段协商的认证算法。
认证算法支持sha1(默认值)、md5、sha256、sha384和sha512。
DH分组
选择第二阶段协商的Diffie-Hellman密钥交换算法。
disabled:表示不使用DH密钥交换算法。
对于不支持PFS的客户端请选择disabled。
如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
group1:表示DH分组中的DH1。
group2(默认值):表示DH分组中的DH2。
group5:表示DH分组中的DH5。
group14:表示DH分组中的DH14。
SA生存周期(秒)
设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400。
DPD
选择开启或关闭对等体存活检测DPD(Dead Peer Detection)功能。DPD功能默认开启。
开启DPD功能后,IPsec连接会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec连接将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。DPD检测超时后,IPsec连接会自动重新发起IPsec-VPN隧道协商。DPD报文的超时时间为30秒。
NAT穿越
选择开启或关闭NAT(Network Address Translation)穿越功能。NAT穿越功能默认开启。
开启NAT穿越功能后,IKE协商过程会删除对UDP端口号的验证过程,同时能帮您发现加密通信通道中的NAT网关设备。
BGP配置
如果您为IPsec连接开启了BGP功能,您需要指定BGP隧道网段以及阿里云侧BGP隧道IP地址。
配置项
说明
隧道网段
输入IPsec隧道的网段。
隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
本端BGP地址
输入IPsec连接阿里云侧的BGP IP地址。
该地址为隧道网段内的一个IP地址。
健康检查
系统默认关闭健康检查功能,在添加健康检查配置前,请先打开健康检查功能。
重要为IPsec连接配置健康检查功能后,请在本地数据中心侧添加一条目标网段为源IP,子网掩码为32位,下一跳指向IPsec连接的路由条目,以确保IPsec连接健康检查功能正常工作。
配置项
说明
目标IP
输入阿里云侧通过IPsec连接可以访问的本地数据中心的IP地址。
说明请确保目的IP地址支持ICMP应答。
源IP
输入本地数据中心通过IPsec连接可以访问的阿里云侧的IP地址。
重试间隔
选择健康检查的重试间隔时间。单位:秒。默认值:3。
重试次数
选择健康检查的重试次数。默认值:3。
切换路由
选择健康检查失败后是否允许系统撤销已发布的路由。默认值:是,即健康检查失败后,允许系统撤销已发布的路由。
如果您取消选中是,则健康检查失败后,系统不会撤销已发布的路由。
IPsec连接向跨账号的转发路由器实例授权
创建IPsec连接时,如果绑定云企业网选项选择了跨账号绑定,那么创建完成后,您需要按照如下步骤,将IPsec连接授权给跨账号的转发路由器。
在执行授权操作前,请确保IPsec连接未绑定转发路由器,如果IPsec连接已绑定转发路由器实例,则需先解除绑定关系。具体操作,请参见删除网络实例连接。
登录VPN网关管理控制台。
在左侧导航栏,选择。
- 在顶部菜单栏,选择IPsec连接的地域。
在IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
在IPsec连接详情页面的云企业网跨账号授权页签,单击云企业网跨账号授权。
在加入云企业网对话框,根据以下信息进行配置,然后单击确定。
配置项
说明
对方账号UID
转发路由器实例所属阿里云账号(主账号)ID。
对方云企业网实例ID
转发路由器实例所属的云企业网实例ID。
资费承担方式
选择付费方。
云企业网用户承担资费(默认值):表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由转发路由器实例所属的账号承担。
VPN用户承担资费:表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由IPsec连接所属的账号承担。
重要请谨慎选择资费承担方。变更资费承担方,可能会影响您的业务。更多信息,请参见变更网络实例资费承担方。
转发路由器实例绑定IPsec连接后产生的IPsec连接实例费、IPsec连接流量费仍旧由IPsec连接所属的账号承担。
记录IPsec连接ID和IPsec连接所属的阿里云账号(主账号)ID,以便后续创建VPN连接。具体操作,请参见创建VPN连接。
您可以在账号管理页面查看账号ID。
取消IPsec连接向跨账号转发路由器实例的授权
如果您不再需要IPsec连接被绑定至跨账号的转发路由器实例,您可以取消IPsec连接向跨账号的转发路由器实例的授权。
如果跨账号的转发路由器实例已经与IPsec连接建立了绑定关系,请先解除跨账号转发路由器实例与网络实例的绑定关系。具体操作,请参见删除网络实例连接。
删除IPsec连接
如果IPsec连接绑定了转发路由器实例,在执行操作前,请确保IPsec连接已经和转发路由器实例解绑。具体操作,请参见删除网络实例连接。
登录VPN网关管理控制台。
在左侧导航栏,选择。
- 在顶部菜单栏,选择IPsec连接的地域。
在IPsec连接页面,找到目标IPsec连接,在操作列单击删除。
在弹出的对话框中,确认信息,然后单击确定。
通过调用API管理IPsec连接
支持通过阿里云 SDK(推荐)、阿里云 CLI、Terraform、资源编排等工具调用API管理IPsec连接。相关API说明,请参见: