创建IPsec连接

创建IPsec VPN网关和用户网关后，您可以创建IPsec连接建立加密通信通道。

1. 登录VPN网关管理控制台。
2. 在左侧导航栏，选择VPN > IPsec连接。
3. 在顶部菜单栏，选择IPsec连接的地域。
4. 在IPsec连接页面，单击创建IPsec连接。
5. 在创建IPsec连接页面，根据以下信息配置IPsec连接，然后单击确定。
   为普通型VPN网关创建IPsec连接

   配置	说明
   名称	IPsec连接的名称。 名称在2~128个字符之间，以英文字母或中文开始，可包含数字、短划线（-）和下划线（_）。
   VPN网关	选择待连接的普通型VPN网关。
   用户网关	选择待连接的用户网关。
   路由模式	选择路由模式。默认为目的路由模式。 目的路由模式：基于目的IP进行路由转发。 您在创建IPsec连接后，需要在VPN网关目的路由表中添加目的路由。具体操作，请参见添加目的路由。 感兴趣流模式：基于源IP和目的IP进行精确的路由转发。 您在创建IPsec连接时，如果您选择了感兴趣流模式，您需要配置本端网段和对端网段。配置完成后，系统自动在VPN网关策略路由表中添加策略路由。 系统在VPN网关策略路由表中添加策略路由后，路由默认是未发布状态，您需要在策略路由表中手动将路由发布至VPC中。 说明 如果您当前的VPN版本为旧版，您无需选择路由模式。在您创建IPsec连接后，请您手动为VPN网关配置目的路由或策略路由。更多信息，请参见网关路由概述。
   本端网段	输入需要和本地数据中心互连的VPC侧的网段，用于第二阶段协商。 单击文本框后面的，可添加多个需要和本地数据中心互连的VPC侧的网段。 说明 只有IKE V2版本下才可以配置多网段。
   对端网段	输入需要和VPC互连的本地数据中心侧的网段，用于第二阶段协商。 单击文本框后面的，可添加多个需要和VPC互连的本地数据中心侧的网段。 说明 只有IKE V2版本下才可以配置多网段。
   立即生效	选择是否立即生效。 是：配置完成后立即进行协商。 否：当有流量进入时进行协商。
   预共享密钥	用于IPsec VPN网关与用户网关之间的身份认证。默认情况下会随机生成，也可以手动指定密钥。
   高级配置：IKE配置
   版本	选择IKE协议的版本。 ikev1 ikev2 目前系统支持IKE V1和IKE V2，相对于IKE V1版本，IKE V2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持，所以建议选择IKE V2版本。
   协商模式	选择协商模式。 main：主模式，协商过程安全性高。 aggressive：野蛮模式，协商快速且协商成功率高。 协商成功后两种模式的信息传输安全性相同。
   加密算法	选择第一阶段协商使用的加密算法。普通型VPN网关支持aes、aes192、aes256、des和3des。
   认证算法	第一阶段协商使用的认证算法。普通型VPN网关支持sha1、md5、sha256、sha384和sha512。
   DH分组	选择第一阶段协商的Diffie-Hellman密钥交换算法。
   SA生存周期（秒）	设置第一阶段协商出的SA的生存周期。默认值为86400秒。
   LocalId	作为IPsec VPN网关的标识，用于第一阶段的协商。默认值为VPN网关的公网IP地址。如果手动设置LocalId为FQDN格式，建议将协商模式改为野蛮模式（aggressive）。
   RemoteId	作为用户网关的标识，用于第一阶段的协商。默认值为用户网关的公网IP地址。如果手动设置RemoteId为FQDN格式，建议将协商模式改为野蛮模式（aggressive）。
   高级配置：IPSec配置
   加密算法	选择第二阶段协商的加密算法。支持aes、aes192、aes256、des和3des。
   认证算法	选择第二阶段协商的认证算法。支持sha1、md5、sha256、sha384和sha512。
   DH分组	选择第二阶段协商的Diffie-Hellman密钥交换算法： 如果选择为非disabled的任何一个组，会默认开启PFS功能（完美向前加密），使得每次重协商都要更新密钥，因此，相应的客户端也要配置为PFS开启。 对于不支持PFS的客户端请选择disabled。
   SA生存周期（秒）	设置第二阶段协商出的SA的生存周期。默认值为86400秒。
   DPD	选择开启或关闭对等体存活检测功能。DPD功能默认开启。
   NAT穿越	选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。
   BGP配置
   隧道网段	输入IPsec隧道的网段。 该网段应是一个在169.254.0.0/16内的掩码长度为30的网段。
   本端BGP地址	输入本端BGP地址。 该地址为隧道网段内的一个IP地址。 说明 请确保IPsec隧道两端的BGP地址不冲突。
   本端自治系统号	输入VPC侧的自治系统号。
   健康检查
   目标IP	VPC侧通过IPSec连接可以访问的本地数据中心的IP地址。
   源IP	本地数据中心通过IPSec连接可以访问的VPC侧的IP地址。
   重试间隔	健康检查的重试间隔时间，单位是秒。
   重试次数	健康检查的重试发包次数。

   为国密型VPN网关创建IPsec连接

   配置	说明
   名称	IPsec连接的名称。 名称在2~128个字符之间，以英文字母或中文开始，可包含数字、短划线（-）和下划线（_）。
   VPN网关	选择待连接的国密型VPN网关。
   用户网关	选择待连接的用户网关。
   路由模式	选择路由模式。默认为目的路由模式。 目的路由模式：基于目的IP进行路由转发。 您在创建IPsec连接后，需要在VPN网关目的路由表中添加目的路由。具体操作，请参见添加目的路由。 感兴趣流模式：基于源IP和目的IP进行精确的路由转发。 您在创建IPsec连接时，如果您选择了感兴趣流模式，您需要配置本端网段和对端网段。配置完成后，系统自动在VPN网关策略路由表中添加策略路由。 系统在VPN网关策略路由表中添加策略路由后，路由默认是未发布状态，您需要在策略路由表中手动将路由发布至VPC中。 说明 如果您当前的VPN版本为旧版，您无需选择路由模式。在您创建IPsec连接后，请您手动为VPN网关配置目的路由或策略路由。更多信息，请参见网关路由概述。
   本端网段	输入需要和本地数据中心互连的VPC侧的网段，用于第二阶段协商。 单击文本框后面的，可添加多个需要和本地数据中心互连的VPC侧的网段。 说明 只有IKE V2版本下才可以配置多网段。
   对端网段	输入需要和VPC互连的本地数据中心侧的网段，用于第二阶段协商。 单击文本框后面的，可添加多个需要和VPC互连的本地数据中心侧的网段。 说明 只有IKE V2版本下才可以配置多网段。
   立即生效	选择是否立即生效。 是：配置完成后立即进行协商。 否：当有流量进入时进行协商。
   RemoteId	输入对端CA证书的主体名称。
   对端CA证书	输入对端CA证书。 通过输入对端CA证书，VPN网关可以在建立IPsec连接时校验对端证书的合法性。 您还可以通过以下两种方式选择对端CA证书： 单击上传证书，选择本地已经保存的证书。 单击选择证书，选择您在KMS平台创建的证书实例。
   高级配置：IKE配置
   版本	选择IKE协议的版本。 ikev1 ikev2 目前系统支持IKE V1和IKE V2，相对于IKE V1版本，IKE V2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持，所以建议选择IKE V2版本。
   协商模式	选择协商模式。 main：主模式，协商过程安全性高。 aggressive：野蛮模式，协商快速且协商成功率高。 协商成功后两种模式的信息传输安全性相同。
   加密算法	选择第一阶段协商使用的加密算法。国密型VPN网关支持sm4。
   认证算法	选择第一阶段协商使用的认证算法。国密型VPN网关支持sm3。
   SA生存周期（秒）	设置第一阶段协商出的SA的生存周期。默认值为86400秒。
   高级配置：IPSec配置
   加密算法	选择第二阶段协商的加密算法。国密型VPN网关支持sm4。
   认证算法	选择第二阶段协商的认证算法。国密型VPN网关支持sm3。
   SA生存周期（秒）	设置第二阶段协商出的SA的生存周期。默认值为86400秒。
   DPD	选择开启或关闭对等体存活检测功能。DPD功能默认开启。
   NAT穿越	选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。
   BGP配置
   隧道网段	输入IPsec隧道的网段。 该网段应是一个在169.254.0.0/16内的掩码长度为30的网段。
   本端BGP地址	输入本端BGP地址。 该地址为隧道网段内的一个IP地址。 说明 请确保IPsec隧道两端的BGP地址不冲突。
   本端自治系统号	输入VPC侧的自治系统号。
   健康检查
   目标IP	VPC侧通过IPSec连接可以访问的本地数据中心的IP地址。
   源IP	本地数据中心通过IPSec连接可以访问的VPC侧的IP地址。
   重试间隔	健康检查的重试间隔时间，单位是秒。
   重试次数	健康检查的重试发包次数。