创建VPN网关和用户网关后,您可以创建IPsec连接建立加密通信通道。

前提条件

如果您要为国密型VPN网关创建IPsec连接,请确保您已经满足以下条件:

  • 您的国密型VPN网关已经绑定了国密证书。具体操作,请参见管理国密证书
  • 您已知国密型VPN网关对端的CA(Certification Authority)证书和CA证书主体名称。

背景信息

在您创建IPsec连接时,您可以选择为IPsec连接开启或关闭以下功能:
  • DPD:对等体存活检测DPD(Dead Peer Detection)功能。

    开启DPD功能后,IPsec发起端会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。系统默认开启该功能。

  • NAT穿越:NAT(Network Address Translation)穿越功能。

    开启NAT穿越功能后,IKE协商过程会删除对UDP端口号的验证过程,同时能帮您发现VPN隧道中NAT网关设备。系统默认开启该功能。

  • BGP:BGP(Border Gateway Protocol)动态路由功能。

    开启BGP功能后,VPN网关通过BGP动态路由协议自动学习路由实现资源互通,帮您降低网络维护成本和网络配置风险。系统默认关闭该功能。

  • 健康检查:IPsec连接的健康检查功能。

    通过配置健康检查,可以帮您检测IPsec连接状态,方便您及时发现问题。系统默认关闭该功能。

说明
  • 如果您的VPN网关是最新版本,您可以直接使用DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能;如果您的VPN网关不是最新版,默认您无法使用DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能。

    您可以在升级按钮处查看VPN网关是否已是最新版本。如果您的VPN网关不是最新版本,建议您将VPN网关升级至最新版本,以便您可以体验更多功能。具体操作,请参见升级VPN网关

  • VPN网关开启BGP动态路由功能后,不支持关闭。

操作步骤

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,单击创建IPsec连接
  5. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
    为普通型VPN网关创建IPsec连接
    配置 说明
    名称

    IPsec连接的名称。

    名称在2~128个字符之间,以大小写字母或中文开始,可包含数字、短划线(-)和下划线(_)。
    VPN网关 选择待连接的普通型VPN网关。
    用户网关 选择待连接的用户网关。
    路由模式 选择路由模式。默认为目的路由模式
    • 目的路由模式:基于目的IP进行路由转发。

      您在创建IPsec连接后,需要在VPN网关目的路由表中添加目的路由。具体操作,请参见添加目的路由

    • 感兴趣流模式:基于源IP和目的IP进行精确的路由转发。

      您在创建IPsec连接时,如果您选择了感兴趣流模式,您需要配置本端网段对端网段。配置完成后,系统自动在VPN网关策略路由表中添加策略路由。

      系统在VPN网关策略路由表中添加策略路由后,路由默认是未发布状态,您需要在策略路由表中手动将路由发布至VPC中。

    说明 如果您当前的VPN版本为旧版,您无需选择路由模式。在您创建IPsec连接后,请您手动为VPN网关配置目的路由或策略路由。更多信息,请参见网关路由概述
    本端网段 输入需要和本地数据中心互连的VPC侧的网段,用于第二阶段协商。
    单击文本框后面的添加,可添加多个需要和本地数据中心互连的VPC侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    对端网段 输入需要和VPC互连的本地数据中心侧的网段,用于第二阶段协商。
    单击文本框后面的添加,可添加多个需要和VPC互连的本地数据中心侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    预共享密钥 用于IPsec VPN网关与用户网关之间的身份认证。默认情况下会随机生成,也可以手动指定密钥。
    高级配置:IKE配置
    版本 选择IKE协议的版本。
    • ikev1
    • ikev2

    目前系统支持IKE V1和IKE V2,相对于IKE V1版本,IKE V2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKE V2版本。
    协商模式 选择协商模式。
    • main:主模式,协商过程安全性高。
    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。
    加密算法 选择第一阶段协商使用的加密算法。普通型VPN网关支持aesaes192aes256des3des
    认证算法 第一阶段协商使用的认证算法。普通型VPN网关支持sha1md5sha256sha384sha512
    DH分组 选择第一阶段协商的Diffie-Hellman密钥交换算法。普通型VPN网关支持以下DH组:
    • group1:表示DH分组中的DH1。
    • group2:表示DH分组中的DH2。
    • group5:表示DH分组中的DH5。
    • group14:表示DH分组中的DH14。
    SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。默认值为86400秒。
    LocalId 作为IPsec VPN网关的标识,用于第一阶段的协商。默认值为VPN网关的公网IP地址。如果手动设置LocalId为FQDN格式,建议将协商模式改为野蛮模式(aggressive)。
    RemoteId 作为用户网关的标识,用于第一阶段的协商。默认值为用户网关的公网IP地址。如果手动设置RemoteId为FQDN格式,建议将协商模式改为野蛮模式(aggressive)。
    高级配置:IPSec配置
    加密算法 选择第二阶段协商的加密算法。支持aesaes192aes256des3des
    认证算法 选择第二阶段协商的认证算法。支持sha1md5sha256sha384sha512
    DH分组 选择第二阶段协商的Diffie-Hellman密钥交换算法。普通型VPN网关以下DH组:
    • disabled:表示不使用DH密钥交换算法。
      • 对于不支持PFS的客户端请选择disabled
      • 如果选择为非disabled的任何一个组,会默认开启PFS功能(完美向前加密),使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
    • group1:表示DH分组中的DH1。
    • group2:表示DH分组中的DH2。
    • group5:表示DH分组中的DH5。
    • group14:表示DH分组中的DH14。
    SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。默认值为86400秒。
    DPD 选择开启或关闭对等体存活检测功能。DPD功能默认开启。
    NAT穿越 选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。
    BGP配置
    隧道网段 输入IPsec隧道的网段。

    该网段应是一个在169.254.0.0/16内的掩码长度为30的网段。
    本端BGP地址 输入本端BGP地址。

    该地址为隧道网段内的一个IP地址。

    说明 请确保IPsec隧道两端的BGP地址不冲突。
    本端自治系统号 输入VPC侧的自治系统号。
    健康检查
    目标IP VPC侧通过IPSec连接可以访问的本地数据中心的IP地址。
    源IP 本地数据中心通过IPSec连接可以访问的VPC侧的IP地址。
    重试间隔 健康检查的重试间隔时间,单位是秒。
    重试次数 健康检查的重试发包次数。
    为国密型VPN网关创建IPsec连接
    配置 说明
    名称

    IPsec连接的名称。

    名称在2~128个字符之间,以大小写字母或中文开始,可包含数字、短划线(-)和下划线(_)。
    VPN网关 选择待连接的国密型VPN网关。
    用户网关 选择待连接的用户网关。
    路由模式 选择路由模式。默认为目的路由模式
    • 目的路由模式:基于目的IP进行路由转发。

      您在创建IPsec连接后,需要在VPN网关目的路由表中添加目的路由。具体操作,请参见添加目的路由

    • 感兴趣流模式:基于源IP和目的IP进行精确的路由转发。

      您在创建IPsec连接时,如果您选择了感兴趣流模式,您需要配置本端网段对端网段。配置完成后,系统自动在VPN网关策略路由表中添加策略路由。

      系统在VPN网关策略路由表中添加策略路由后,路由默认是未发布状态,您需要在策略路由表中手动将路由发布至VPC中。

    说明 如果您当前的VPN版本为旧版,您无需选择路由模式。在您创建IPsec连接后,请您手动为VPN网关配置目的路由或策略路由。更多信息,请参见网关路由概述
    本端网段 输入需要和本地数据中心互连的VPC侧的网段,用于第二阶段协商。
    单击文本框后面的添加,可添加多个需要和本地数据中心互连的VPC侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    对端网段 输入需要和VPC互连的本地数据中心侧的网段,用于第二阶段协商。
    单击文本框后面的添加,可添加多个需要和VPC互连的本地数据中心侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    RemoteId 输入对端CA证书的主体名称。
    对端CA证书 输入对端CA证书。

    通过输入对端CA证书,VPN网关可以在建立IPsec连接时校验对端证书的合法性。

    您还可以通过以下两种方式选择对端CA证书:
    • 单击上传证书,选择本地已经保存的证书。
    • 单击选择证书,选择您在KMS平台创建的证书实例。
    高级配置:IKE配置
    版本 选择IKE协议的版本。
    • ikev1
    • ikev2

    目前系统支持IKE V1和IKE V2,相对于IKE V1版本,IKE V2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKE V2版本。
    协商模式 选择协商模式。
    • main:主模式,协商过程安全性高。
    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。
    加密算法 选择第一阶段协商使用的加密算法。国密型VPN网关支持sm4
    认证算法 选择第一阶段协商使用的认证算法。国密型VPN网关支持sm3
    SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。默认值为86400秒。
    高级配置:IPSec配置
    加密算法 选择第二阶段协商的加密算法。国密型VPN网关支持sm4
    认证算法 选择第二阶段协商的认证算法。国密型VPN网关支持sm3
    SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。默认值为86400秒。
    DPD 选择开启或关闭对等体存活检测功能。DPD功能默认开启。
    NAT穿越 选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。
    BGP配置
    隧道网段 输入IPsec隧道的网段。

    该网段应是一个在169.254.0.0/16内的掩码长度为30的网段。
    本端BGP地址 输入本端BGP地址。

    该地址为隧道网段内的一个IP地址。

    说明 请确保IPsec隧道两端的BGP地址不冲突。
    本端自治系统号 输入VPC侧的自治系统号。
    健康检查
    目标IP VPC侧通过IPSec连接可以访问的本地数据中心的IP地址。
    源IP 本地数据中心通过IPSec连接可以访问的VPC侧的IP地址。
    重试间隔 健康检查的重试间隔时间,单位是秒。
    重试次数 健康检查的重试发包次数。