在配置IPsec-VPN过程中,您需要创建IPsec连接以建立加密通信通道。

背景信息

创建IPsec连接时,您可以选择为IPsec连接开启或关闭以下功能:
  • DPD:对等体存活检测DPD(Dead Peer Detection)功能。

    开启DPD功能后,IPsec发起端会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。

    系统默认开启该功能。

  • NAT穿越:NAT(Network Address Translation)穿越功能。

    开启NAT穿越功能后,IKE协商过程会删除对UDP端口号的验证过程,同时能帮您发现加密通信通道中的NAT网关设备。

    系统默认开启该功能。

  • BGP:BGP(Border Gateway Protocol)动态路由功能。

    开启BGP功能后,IPsec连接将通过BGP动态路由协议自动学习和发布路由,可以帮您降低网络维护成本和网络配置风险。

    系统默认关闭该功能。

  • 健康检查:IPsec连接的健康检查功能。

    开启健康检查功能后,系统将自动检测IPsec连接下本地数据中心和阿里云侧的网络连通性,如果检测到当前链路不可用,则系统会自动将流量切换至其他可用链路,帮助您提高网络的高可用性。

    系统默认关闭该功能。

IPsec连接绑定的实例不同,DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能的默认支持情况不同,具体如下:

  • 在创建IPsec连接过程中,如果IPsec连接绑定转发路由器实例,则IPsec连接默认支持DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能。
  • 在创建IPsec连接过程中,如果IPsec连接绑定VPN网关实例,则:

    如果VPN网关实例是最新版本,则IPsec连接默认支持DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能;如果VPN网关实例不是最新版,则您仅可使用当前版本支持的功能。

    您可以在升级按钮处查看VPN网关是否是最新版本,如果不是最新版本,您可以通过升级按钮进行升级。具体操作,请参见升级VPN网关

创建IPsec连接

  • 在创建IPsec连接前,请您先了解IPsec-VPN的使用流程,并依据使用流程完成创建IPsec连接前的所有操作步骤。更多信息,请参见配置概览
  • 如果您的IPsec连接需要绑定VPN网关实例,且VPN网关实例类型为国密型,则在创建IPsec连接前,您还需要满足以下条件:
    • 您的国密型VPN网关已经绑定了国密证书。具体操作,请参见管理国密证书
    • 您已知国密型VPN网关对端的CA(Certification Authority)证书和CA证书主体名称。
  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
    说明 IPsec连接的地域需和待绑定的转发路由器实例所属的地域或者VPN网关实例所属的地域相同。
  4. IPsec连接页面,单击创建IPsec连接
  5. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
    依据IPsec连接绑定的资源不同,您需要为IPsec连接配置不同的信息,下表罗列出IPsec连接所有的配置项信息,供您参考。

    基本配置

    配置 说明
    名称

    输入IPsec连接的名称。

    绑定资源 选择IPsec连接绑定的资源类型。
    • 如果IPsec连接需要绑定转发路由器实例,请选择云企业网或者不绑定
      • 如果您选择云企业网,则系统在创建IPsec连接的过程中直接将IPsec绑定至您指定的同账号的转发路由器实例。
      • 如果您选择不绑定,则IPsec连接被创建后不会绑定任何资源。后续您可以在云企业网CEN(Cloud Enterprise Network)管理控制台将该IPsec连接绑定至同账号或者跨账号的转发路由器实例。具体操作,请参见创建VPN连接
      说明 如果您需要将IPsec连接绑定至不同的转发路由器实例,这些转发路由器实例需位于不同的云企业网下。您可以在CEN管理控制台将IPsec连接绑定至不同云企业网下的转发路由器实例上。具体操作,请参见创建VPN连接
    • 如果IPsec连接需要绑定VPN网关实例,请选择VPN网关
    网关类型 选择IPsec连接的网络类型。
    • 公网(默认值):表示IPsec连接通过公网建立加密通信通道。
    • 私网:表示IPsec连接通过私网建立加密通信通道。
    CEN 实例ID 选择转发路由器实例所属的云企业网实例。
    可用区 选择可用区。

    系统将在您选择的可用区下创建资源。

    转发路由器 选择IPsec连接待绑定的转发路由器实例。
    VPN网关 选择IPsec连接待绑定的VPN网关实例。
    用户网关 选择IPsec连接待关联的用户网关。
    路由模式 选择IPsec连接的路由模式。
    • 目的路由模式(默认值):基于目的IP地址路由和转发流量。
    • 感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。
      选择感兴趣流模式后,您需要配置本端网段对端网段。IPsec连接配置完成后:
      • 如果IPsec连接绑定了VPN网关实例,系统自动在VPN网关实例的策略路由表中添加策略路由。

        系统在VPN网关实例的策略路由表中添加策略路由后,路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作,请参见添加策略路由

      • 如果IPsec连接绑定了转发路由器实例,系统自动在IPsec连接下的目的路由表中添加目的路由,路由默认会被发布至IPsec连接关联的转发路由器的路由表中。
    说明 如果IPsec连接绑定了VPN网关实例,且您选择的VPN网关实例为旧版VPN网关实例,则您无需选择路由模式。
    本端网段 输入需要和本地数据中心互通的VPC侧的网段,用于第二阶段协商。
    单击文本框右侧的添加图标,可添加多个需要和本地数据中心互通的VPC侧的网段。
    说明 如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2
    对端网段 输入需要和VPC互通的本地数据中心侧的网段,用于第二阶段协商。
    单击文本框右侧的添加图标,可添加多个需要和VPC侧互通的本地数据中心侧的网段。
    说明 如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2
    立即生效 选择IPsec连接的配置是否立即生效。
    • :配置完成后系统立即进行IPsec协议协商。
    • (默认值):当有流量进入时系统才进行IPsec协议协商。
    预共享密钥 输入IPsec连接的认证密钥,用于VPN网关实例或者转发路由器实例与本地数据中心之间的身份认证。

    密钥长度为1~100个字符。若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接

    重要 IPsec连接两侧配置的预共享密钥需一致,否则系统无法正常建立IPsec连接。
    RemoteId 输入对端CA证书的主体名称。
    对端CA证书 输入对端CA证书。

    通过输入对端CA证书,VPN网关实例可以在建立IPsec连接时校验对端证书的合法性。

    您还可以通过以下两种方式选择对端CA证书:
    • 单击上传证书,选择本地已经保存的证书。
    • 单击选择证书,选择您在KMS平台创建的证书实例。

    高级配置

    配置 说明
    高级配置:IKE配置
    版本 选择IKE协议的版本。
    • ikev1(默认值)
    • ikev2

    目前系统支持IKEv1和IKEv2,相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKEv2版本。

    协商模式 选择协商模式。
    • main(默认值):主模式,协商过程安全性高。
    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。

    加密算法 选择第一阶段协商使用的加密算法。

    如果IPsec连接绑定VPN网关实例,且VPN网关实例类型为国密型,则加密算法仅支持sm4

    认证算法 选择第一阶段协商使用的认证算法。
    • 如果IPsec连接绑定转发路由器实例,则认证算法支持sha1(默认值)和md5
    • 如果IPsec连接绑定VPN网关实例,则:
      • 普通型VPN网关支持sha1(默认值)、md5sha256sha384sha512
      • 国密型VPN网关支持sm3
    DH分组 选择第一阶段协商的Diffie-Hellman密钥交换算法。
    • group1:表示DH分组中的DH1。
    • group2(默认值):表示DH分组中的DH2。
    • group5:表示DH分组中的DH5。
    • group14:表示DH分组中的DH14。
    SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400
    LocalId 为IPsec连接阿里云侧的标识,用于第一阶段的协商。
    • 如果IPsec连接绑定转发路由器实例,则当前标识的值默认为IPsec连接的网关IP地址。
    • 如果IPsec连接绑定VPN网关实例,则当前标识的值默认为VPN网关实例的IP地址。

    LocalId支持FQDN格式,如果您使用FQDN格式,协商模式建议选择为aggressive(野蛮模式)。

    RemoteId 为IPsec连接本地数据中心侧的标识,用于第一阶段的协商。默认值为用户网关的IP地址。

    RemoteId支持FQDN格式,如果您使用FQDN格式,协商模式建议选择为aggressive(野蛮模式)。

    高级配置:IPSec配置
    加密算法 选择第二阶段协商的加密算法。

    如果IPsec连接绑定VPN网关实例,且VPN网关类型为国密型,则加密算法仅支持sm4

    认证算法 选择第二阶段协商的认证算法。
    • 如果IPsec连接绑定转发路由器实例,则认证算法支持sha1(默认值)和md5
    • 如果IPsec连接绑定VPN网关实例,则:
      • 普通型VPN网关支持sha1(默认值)、md5sha256sha384sha512
      • 国密型VPN网关支持sm3
    DH分组 选择第二阶段协商的Diffie-Hellman密钥交换算法。
    • disabled:表示不使用DH密钥交换算法。
      • 对于不支持PFS的客户端请选择disabled
      • 如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
    • group1:表示DH分组中的DH1。
    • group2(默认值):表示DH分组中的DH2。
    • group5:表示DH分组中的DH5。
    • group14:表示DH分组中的DH14。
    SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400
    DPD 选择开启或关闭对等体存活检测功能。DPD功能默认开启。
    NAT穿越 选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。

    BGP配置

    使用BGP动态路由功能前,建议您先了解BGP动态路由功能工作机制和使用限制。更多信息,请参见VPN网关支持BGP动态路由公告

    系统默认关闭BGP动态路由功能,在添加BGP配置前,请打开BGP动态路由功能。

    配置项 说明
    隧道网段 输入IPsec隧道的网段。

    该网段应是一个在169.254.0.0/16网段内,掩码长度为30的网段。

    本端BGP地址 输入IPsec连接阿里云侧的BGP IP地址。

    该地址为隧道网段内的一个IP地址。

    本端自治系统号 输入IPsec连接阿里云侧的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295
    说明 建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

    健康检查

    系统默认关闭健康检查功能,在添加健康检查配置前,请先打开健康检查功能。

    重要 如果IPsec连接绑定了转发路由器实例,在您为IPsec连接配置健康检查功能后,请在本地数据中心侧添加一条目标网段为源IP,子网掩码为32位,下一跳指向IPsec连接的路由条目,以确保健康检查功能正常工作。
    配置项 说明
    目标IP 输入VPC侧通过IPsec连接可以访问的本地数据中心的IP地址。
    源IP 输入本地数据中心通过IPsec连接可以访问的VPC侧的IP地址。
    重试间隔 选择健康检查的重试间隔时间,单位:秒。默认值:3
    重试次数 选择健康检查的重试次数。
    切换路由 选择健康检查失败后是否允许系统撤销已发布的路由。默认值:,即健康检查失败后,允许系统撤销已发布的路由。

    如果您取消选中,则健康检查失败后,系统不会撤销已发布的路由。

下载IPsec连接配置

创建IPsec连接后,您可以下载IPsec连接的配置,用于后续配置本地网关设备。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,在操作列选择更多 > 下载对端配置
    如何配置本地网关设备,请参见配置本地网关设备

IPsec连接向跨账号的转发路由器实例授权

IPsec连接支持与跨账号的转发路由器实例绑定,不支持与跨账号的VPN网关实例绑定。在IPsec连接与跨账号的转发路由器实例绑定前,IPsec连接需要向跨账号的转发路由器实例授权。

在执行授权操作前,请确保IPsec连接未绑定任何资源:
  • 如果IPsec连接已绑定VPN网关实例,则不再支持绑定同账号或者跨账号的转发路由器实例。
  • 如果IPsec连接已绑定转发路由器实例,则需先解除绑定关系。具体操作,请参见删除网络实例连接
  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
  5. 在IPsec连接详情页面的云企业网跨账号授权页签,单击云企业网跨账号授权
  6. 加入云企业网对话框,根据以下信息进行配置,然后单击确定
    配置项 说明
    对方账号UID 转发路由器实例所属阿里云账号(主账号)ID。
    对方云企业网实例ID 转发路由器实例所属的云企业网实例ID。
    资费承担方式 选择付费方。
    • CEN用户承担资费(默认值):表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由转发路由器实例所属的账号承担。
    • VPN用户承担资费:表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由IPsec连接所属的账号承担。
    重要
    • 请谨慎选择资费承担方。变更资费承担方,可能会影响您的业务。更多信息,请参见变更网络实例资费承担方
    • 转发路由器实例绑定IPsec连接后产生的IPsec连接实例费、IPsec连接流量费仍旧由IPsec连接所属的账号承担。
  7. 记录IPsec连接ID和IPsec连接所属的阿里云账号(主账号)ID,以便后续创建VPN连接。具体操作,请参见创建VPN连接
    您可以在账号管理页面查看账号ID。账号查看

修改IPsec连接

创建IPsec连接后,您可以修改IPsec连接的配置。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,在操作列单击编辑
  5. 编辑IPsec连接页面,修改IPsec连接的名称、高级配置、互通网段等配置,然后单击确定
    关于参数的详细说明,请参见创建IPsec连接

取消IPsec连接向跨账号转发路由器实例的授权

如果您不再需要IPsec连接被绑定至跨账号的转发路由器实例,您可以取消IPsec连接向跨账号的转发路由器实例的授权。

如果跨账号的转发路由器实例已经与IPsec连接建立了绑定关系,请先解除跨账号转发路由器实例与网络实例的绑定关系。具体操作,请参见删除网络实例连接

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
  5. 在IPsec连接详情页面的云企业网跨账号授权页签,找到目标授权记录,在操作列单击取消授权
  6. 取消授权对话框,确认信息,然后单击确定

删除IPsec连接

  • 如果IPsec连接绑定了转发路由器实例,在执行操作前,请确保IPsec连接已经和转发路由器实例解绑。具体操作,请参见删除网络实例连接
  • 如果IPsec连接绑定了VPN网关实例,可直接删除IPsec连接。
  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,在操作列单击删除
  5. 在弹出的对话框中,确认信息,然后单击确定