在配置IPsec-VPN过程中,您需要创建IPsec连接以建立加密通信通道。
背景信息
- DPD:对等体存活检测DPD(Dead Peer Detection)功能。
开启DPD功能后,IPsec发起端会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。
系统默认开启该功能。
- NAT穿越:NAT(Network Address Translation)穿越功能。
开启NAT穿越功能后,IKE协商过程会删除对UDP端口号的验证过程,同时能帮您发现加密通信通道中的NAT网关设备。
系统默认开启该功能。
- BGP:BGP(Border Gateway Protocol)动态路由功能。
开启BGP功能后,IPsec连接将通过BGP动态路由协议自动学习和发布路由,可以帮您降低网络维护成本和网络配置风险。
系统默认关闭该功能。
- 健康检查:IPsec连接的健康检查功能。
开启健康检查功能后,系统将自动检测IPsec连接下本地数据中心和阿里云侧的网络连通性,如果检测到当前链路不可用,则系统会自动将流量切换至其他可用链路,帮助您提高网络的高可用性。
系统默认关闭该功能。
IPsec连接绑定的实例不同,DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能的默认支持情况不同,具体如下:
- 在创建IPsec连接过程中,如果IPsec连接绑定转发路由器实例,则IPsec连接默认支持DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能。
- 在创建IPsec连接过程中,如果IPsec连接绑定VPN网关实例,则:
如果VPN网关实例是最新版本,则IPsec连接默认支持DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能;如果VPN网关实例不是最新版,则您仅可使用当前版本支持的功能。
您可以在升级按钮处查看VPN网关是否是最新版本,如果不是最新版本,您可以通过升级按钮进行升级。具体操作,请参见升级VPN网关。
创建IPsec连接
- 在创建IPsec连接前,请您先了解IPsec-VPN的使用流程,并依据使用流程完成创建IPsec连接前的所有操作步骤。更多信息,请参见使用流程。
- 如果您的IPsec连接需要绑定VPN网关实例,且VPN网关实例类型为国密型,则在创建IPsec连接前,您还需要满足以下条件:
- 您的国密型VPN网关已经绑定了国密证书。具体操作,请参见管理国密证书。
- 您已知国密型VPN网关对端的CA(Certification Authority)证书和CA证书主体名称。
下载IPsec连接配置
创建IPsec连接后,您可以下载IPsec连接的配置,用于后续配置本地网关设备。
IPsec连接向跨账号的转发路由器实例授权
IPsec连接支持与跨账号的转发路由器实例绑定,不支持与跨账号的VPN网关实例绑定。在IPsec连接与跨账号的转发路由器实例绑定前,IPsec连接需要向跨账号的转发路由器实例授权。
- 如果IPsec连接已绑定VPN网关实例,则不再支持绑定同账号或者跨账号的转发路由器实例。
- 如果IPsec连接已绑定转发路由器实例,则需先解除绑定关系。具体操作,请参见删除网络实例连接。
修改IPsec连接
创建IPsec连接后,您可以修改IPsec连接的配置。
取消IPsec连接向跨账号转发路由器实例的授权
如果您不再需要IPsec连接被绑定至跨账号的转发路由器实例,您可以取消IPsec连接向跨账号的转发路由器实例的授权。
如果跨账号的转发路由器实例已经与IPsec连接建立了绑定关系,请先解除跨账号转发路由器实例与网络实例的绑定关系。具体操作,请参见删除网络实例连接。
- 登录VPN网关管理控制台。
- 在左侧导航栏,选择 。
- 在顶部菜单栏,选择IPsec连接的地域。
- 在IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
- 在IPsec连接详情页面的云企业网跨账号授权页签,找到目标授权记录,在操作列单击取消授权。
- 在取消授权对话框,确认信息,然后单击确定。
删除IPsec连接
- 如果IPsec连接绑定了转发路由器实例,在执行操作前,请确保IPsec连接已经和转发路由器实例解绑。具体操作,请参见删除网络实例连接。
- 如果IPsec连接绑定了VPN网关实例,可直接删除IPsec连接。
- 登录VPN网关管理控制台。
- 在左侧导航栏,选择 。
- 在顶部菜单栏,选择IPsec连接的地域。
- 在IPsec连接页面,找到目标IPsec连接,在操作列单击删除。
- 在弹出的对话框中,确认信息,然后单击确定。