创建IPsec VPN网关和用户网关后,您可以创建IPsec连接建立加密通信通道。

操作步骤

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,单击VPN > IPsec连接
  3. 选择IPsec连接的地域。
  4. IPsec连接页面,单击创建IPsec连接
  5. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
    配置 说明
    名称

    IPsec连接的名称。

    名称在2-128个字符之间,以英文字母或中文开始,可包含数字,连字符(-)和下划线(_)。

    VPN网关 选择待连接的VPN网关。
    用户网关 选择待连接的用户网关。
    本端网段 输入需要和本地IDC互连的VPC侧的网段,用于第二阶段协商。
    +添加 本端网段 添加多个需要和本地IDC互连的VPC侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    对端网段 输入需要和VPC互连的本地IDC侧的网段,用于第二阶段协商。
    +添加 对端网段 添加多个需要和VPC互连的本地IDC侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    高级配置:IKE配置
    预共享密钥 用于IPsec VPN网关与用户网关之间的身份认证。默认情况下会随机生成,也可以手动指定密钥。
    版本 选择IKE协议的版本。目前支持IKE V1和IKE V2,相对于IKE V1版本,IKE V2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKE V2版本。
    协商模式 选择IKE V1版本的协商模式。
    • 主模式(main):协商过程安全性高。
    • 野蛮模式(aggressive):协商快速且协商成功率高。
    协商成功后两种模式的信息传输安全性相同。
    加密算法 选择第一阶段协商使用的的加密算法。支持aes、aes192、aes256、des和3des。
    认证算法 第一阶段协商使用的认证算法。支持sha1、md5、sha256、sha384和sha512。
    DH分组 选择第一阶段协商的Diffie-Hellman密钥交换算法。
    SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。默认值为86400秒。
    LocalId 作为IPsec VPN网关的标识,用于第一阶段的协商。默认值为VPN网关的公网IP地址。如果手动设置LocalId为FQDN格式,建议将协商模式改为野蛮模式(aggressive)。
    RemoteId 作为用户网关的标识,用于第一阶段的协商。默认值为用户网关的公网IP地址。如果手动设置RemoteId为FQDN格式,建议将协商模式改为野蛮模式(aggressive)。
    高级配置:IPSec配置
    加密算法 选择第二阶段协商的加密算法。支持aes、aes192、aes256、des和3des。
    认证算法 选择第二阶段协商的认证算法。支持sha1、md5、sha256、sha384和sha512。
    DH分组 选择第二阶段协商的Diffie-Hellman密钥交换算法:
    • 如果选择为非disabled的任何一个组,会默认开启PFS功能(完美向前加密),使得每次重协商都要更新密钥,因此,相应的客户端也要配置为PFS开启。
    • 对于不支持PFS的客户端请选择disabled。
    SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。默认值为86400秒。
    健康检查
    目标IP VPC侧通过IPSec连接可以访问的线下IDC的IP地址。
    源IP 线下IDC通过IPSec连接可以访问的VPC侧的IP地址。
    重试间隔 健康检查的重试间隔时间,单位是秒。
    重试次数 健康检查的重试发包次数。