DescribeVpnConnection - 查询已创建的IPsec连接的详细信息

调用DescribeVpnConnection接口查询指定的IPsec连接的信息。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
vpc:DescribeVpnConnectionget
  • VpnConnection
    acs:vpc:{#regionId}:{#accountId}:vpnconnection/{#VpnConnectionId}

请求参数

名称类型必填描述示例值
RegionIdstring

IPsec 连接所在的地域 ID。

您可以通过调用 DescribeRegions 接口获取地域 ID。

cn-hangzhou
VpnConnectionIdstring

IPsec 连接的 ID。

vco-bp1bbi27hojx80nck****

返回参数

名称类型描述示例值
object

返回结果。

Statusstring

IPsec 连接的状态。

  • ike_sa_not_established:第一阶段协商失败。

  • ike_sa_established:第一阶段协商成功。

  • ipsec_sa_not_established:第二阶段协商失败。

  • ipsec_sa_established:第二阶段协商成功。

ike_sa_not_established
RemoteCaCertificatestring

对端的 CA 证书。

-----BEGIN CERTIFICATE----- MIIB7zCCAZW****
EnableNatTraversalboolean

IPsec 连接是否已开启 NAT 穿越功能。

  • true:开启 NAT 穿越功能。

  • false:不开启 NAT 穿越功能。

开启 NAT 穿越功能后,IKE 协商过程会删除对 UDP 端口号的验证过程,同时实现对 VPN 隧道中 NAT 网关设备的发现功能。

true
CreateTimelong

创建 IPsec 连接的时间戳。单位:毫秒。

时间戳的格式采用 Unix 时间戳,表示从格林威治时间 1970 年 01 月 01 日 00 时 00 分 00 秒至创建 IPsec 连接时的总时长。

1492753817000
EffectImmediatelyboolean

IPsec 连接的配置是否立即生效。

  • true:是,配置变更完成后触发重连。

  • false:否,有流量时触发重连。

true
VpnGatewayIdstring

VPN 网关的实例 ID。

vpn-bp1q8bgx4xnkm2ogj****
LocalSubnetstring

IPsec 连接阿里云侧的网段。

在多个网段的情况下,网段之间使用半角逗号(,)分隔。

10.0.0.0/8
RequestIdstring

请求 ID。

F2310D45-BCF6-4E2E-9082-B4503844BA4C
VpnConnectionIdstring

IPsec 连接的 ID。

vco-bp1bbi27hojx80nck****
RemoteSubnetstring

本地数据中心侧的网段。

在多个网段的情况下,网段之间使用半角逗号(,)分隔。

192.168.0.0/16
CustomerGatewayIdstring

IPsec 连接关联的用户网关 ID。

cgw-bp1mvj4g9kogwwcxk****
Namestring

IPsec 连接的名称。

ipsec1
EnableDpdboolean

IPsec 连接是否已开启 DPD(对等体存活检测)功能。

  • false:未开启。

  • true:已开启。

开启 DPD 功能后,IPsec 发起端会发送 DPD 报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec 将删除 ISAKMP SA 和相应的 IPsec SA,安全隧道同样也会被删除。

true
IkeConfigobject

第一阶段协商的配置。

RemoteIdstring

IPsec 连接本地数据中心侧的标识。

139.34.XX.XX
IkeLifetimelong

IKE 阶段生存时间。单位:秒。

86400
IkeEncAlgstring

IKE 阶段加密算法。

aes
LocalIdstring

IPsec 连接阿里云侧的标识。

116.28.XX.XX
IkeModestring

IKE 协商模式。

  • main:主模式,协商过程安全性高。
  • aggressive:野蛮模式,协商快速且协商成功率高。
main
IkeVersionstring

IKE 协议版本。

  • ikev1
  • ikev2

相对于 IKEv1 版本,IKEv2 版本简化了 SA 的协商过程并且对于多网段的场景提供了更好的支持。

ikev1
IkePfsstring

IKE 阶段 DH 分组。

group2
Pskstring

预共享密钥。

pgw6dy****
IkeAuthAlgstring

IKE 阶段认证算法。

sha1
IpsecConfigobject

第二阶段协商的配置。

IpsecAuthAlgstring

IPsec 阶段认证算法。

sha1
IpsecLifetimelong

IPsec 阶段生存时间。单位:秒。

86400
IpsecEncAlgstring

IPsec 阶段加密算法。

aes
IpsecPfsstring

IPsec 阶段 DH 分组。

group2
VcoHealthCheckobject

IPsec 连接的健康检查信息。

Statusstring

健康检查状态。

  • failed:异常。

  • success:正常。

failed
Dipstring

目标 IP 地址。

10.0.0.1
Intervalinteger

健康检查的重试间隔时间,单位:秒。

3
Retryinteger

健康检查的重试发包次数。

3
Sipstring

源 IP 地址。

192.168.1.1
Enablestring

IPsec 连接是否已开启健康检查。

  • false:未开启。

  • true:已开启。

true
Policystring

健康检查失败时是否撤销已发布的路由。

  • revoke_route:撤销路由。
  • reserve_route:不撤销路由。
revoke_route
VpnBgpConfigobject

IPsec 连接 BGP 路由协议的配置信息。

Statusstring

BGP 路由协议的协商状态。

  • success:正常。

  • failed:异常。

success
PeerBgpIpstring

对端 BGP 地址。

169.254.11.1
TunnelCidrstring

IPsec 连接 BGP 网段。该网段是一个在 169.254.0.0/16 内的子网掩码长度为 30 的网段。

169.254.11.0/30
EnableBgpstring

BGP 路由协议的开启状态。

  • true:已开启。

  • false:未开启。

true
LocalBgpIpstring

阿里云侧 BGP 地址。

169.254.11.2
PeerAsnlong

对端自治系统号。

65530
LocalAsnlong

阿里云侧自治系统号。

65531
AuthKeystring

BGP 路由协议的认证密钥。

AuthKey****
AttachTypestring

IPsec 连接绑定的资源类型。

  • CEN:表示 IPsec 连接已绑定云企业网实例下的转发路由器实例。
  • NO_ASSOCIATED:表示 IPsec 连接未绑定任何资源。
  • VPNGW:表示 IPsec 连接绑定了 VPN 网关实例。
CEN
NetworkTypestring

IPsec 连接的网络类型。

  • public:公网,表示 IPsec 连接通过公网建立加密通信通道。
  • private:私网,表示 IPsec 连接通过私网建立加密通信通道。
public
AttachInstanceIdstring

转发路由器实例所属的云企业网实例 ID。

cen-lxxpbpalc776qz****
Specstring

IPsec 连接的带宽规格。单位:Mbps

1000M
Statestring

IPsec 连接与转发路由器实例的绑定状态。

  • active:IPsec 连接已与 VPN 网关实例绑定,状态正常。
  • init:IPsec 连接未绑定任何资源,IPsec 连接初始化。
  • attaching:IPsec 连接与转发路由器实例绑定中。
  • attached:IPsec 连接已与转发路由器实例绑定。
  • detaching:IPsec 连接与转发路由器实例解绑中。
  • financialLocked:欠费锁定。
  • provisioning:资源准备中。
  • updating:更新中。
  • upgrading:升级中。
  • deleted:已删除。
attached
ZoneNostring

IPsec 连接被部署的可用区 ID。

您可以调用 DescribeZones 接口查询可用区 ID 和可用区的对应关系。

cn-hangzhou-h
InternetIpstring

IPsec 连接的网关 IP 地址。

47.XX.XX.162
TransitRouterIdstring

IPsec 连接绑定的转发路由器实例 ID。

tr-p0we2edef9qr44a85****
TransitRouterNamestring

转发路由器实例的名称。

nametest
CrossAccountAuthorizedboolean

IPsec 连接是否绑定了跨账号的转发路由器实例。

  • true:是。
  • false:否。
false
Tagsarray<object>

IPsec 连接绑定的标签列表。

Tagobject

标签信息。

Keystring

标签键。

TagKey
Valuestring

标签值。

TagValue
TunnelOptionsSpecificationarray<object>

IPsec 连接的隧道配置信息。

仅查询双隧道模式的 IPsec 连接会返回 TunnelOptionsSpecification 数组下的参数。

TunnelOptionsobject

隧道的配置信息。

TunnelIdstring

隧道 ID。

tun-opsqc4d97wni27****
CustomerGatewayIdstring

隧道关联的用户网关 ID。

cgw-p0wy363lucf1uyae8****
EnableDpdstring

隧道是否已开启 DPD(对等体存活检测)功能。

  • false:未开启。
  • true:已开启。
true
EnableNatTraversalstring

隧道是否已开启 NAT 穿越功能。

  • false:未开启。
  • true:已开启。
true
InternetIpstring

隧道的 IP 地址。

47.21.XX.XX
RemoteCaCertificatestring

隧道对端的 CA 证书。

仅 VPN 网关实例的类型为国密型时才会返回当前参数。

-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----
Rolestring

隧道的角色。

  • master:表示当前隧道为主隧道。
  • slave:表示当前隧道为备隧道。
master
Statestring

隧道的状态。

  • active:状态正常。
  • updating:更新中。
  • deleting:删除中。
active
Statusstring

IPsec 连接的状态。

  • ike_sa_not_established:第一阶段协商失败。

  • ike_sa_established:第一阶段协商成功。

  • ipsec_sa_not_established:第二阶段协商失败。

  • ipsec_sa_established:第二阶段协商成功。

ipsec_sa_established
TunnelBgpConfigobject

隧道的 BGP 配置信息。

BgpStatusstring

BGP 的协商状态。

  • success:正常。
  • false:异常。
success
LocalAsnstring

隧道本端(阿里云侧)的自治系统号。

65530
LocalBgpIpstring

隧道本端(阿里云侧)的 BGP 地址。

169.254.10.1
PeerAsnstring

隧道对端的自治系统号。

65531
PeerBgpIpstring

隧道对端的 BGP 地址。

169.254.10.2
TunnelCidrstring

隧道的 BGP 网段。

169.254.10.0/30
TunnelIkeConfigobject

第一阶段协商的配置。

IkeAuthAlgstring

IKE 阶段认证算法。

sha1
IkeEncAlgstring

IKE 阶段加密算法。

aes
IkeLifetimestring

IKE 阶段生存时间。单位:秒。

86400
IkeModestring

IKE 协商模式。

  • main:主模式,协商过程安全性高。
  • aggressive:野蛮模式,协商快速且协商成功率高。
main
IkePfsstring

IKE 阶段 DH 分组。

group2
IkeVersionstring

IKE 协议版本。

ikev1
LocalIdstring

隧道本端(阿里云侧)的标识。

47.21.XX.XX
Pskstring

预共享密钥。

123456****
RemoteIdstring

隧道对端的标识。

47.42.XX.XX
TunnelIpsecConfigobject

第二阶段协商的配置。

IpsecAuthAlgstring

IPsec 阶段认证算法。

sha1
IpsecEncAlgstring

IPsec 阶段加密算法。

aes
IpsecLifetimestring

IPsec 阶段生存时间。单位:秒。

86400
IpsecPfsstring

IPsec 阶段 DH 分组。

group2
ZoneNostring

隧道部署的可用区。

您可以调用 DescribeZones 接口查询可用区 ID 和可用区的对应关系。

cn-hangzhou-i
EnableTunnelsBgpboolean

隧道 BGP 的开启状态。

  • true:已开启。
  • false:未开启。
true
ResourceGroupIdstring

IPsec 连接所属资源组 ID。

您可以调用 ListResourceGroups 接口查询资源组信息。

rg-acfmzs372yg****

示例

正常返回示例

JSON格式

{
  "Status": "ike_sa_not_established",
  "RemoteCaCertificate": "-----BEGIN CERTIFICATE----- MIIB7zCCAZW****",
  "EnableNatTraversal": true,
  "CreateTime": 1492753817000,
  "EffectImmediately": true,
  "VpnGatewayId": "vpn-bp1q8bgx4xnkm2ogj****",
  "LocalSubnet": "10.0.0.0/8",
  "RequestId": "F2310D45-BCF6-4E2E-9082-B4503844BA4C",
  "VpnConnectionId": "vco-bp1bbi27hojx80nck****",
  "RemoteSubnet": "192.168.0.0/16",
  "CustomerGatewayId": "cgw-bp1mvj4g9kogwwcxk****",
  "Name": "ipsec1",
  "EnableDpd": true,
  "IkeConfig": {
    "RemoteId": "139.34.XX.XX",
    "IkeLifetime": 86400,
    "IkeEncAlg": "aes",
    "LocalId": "116.28.XX.XX",
    "IkeMode": "main",
    "IkeVersion": "ikev1",
    "IkePfs": "group2",
    "Psk": "pgw6dy****",
    "IkeAuthAlg": "sha1"
  },
  "IpsecConfig": {
    "IpsecAuthAlg": "sha1",
    "IpsecLifetime": 86400,
    "IpsecEncAlg": "aes",
    "IpsecPfs": "group2"
  },
  "VcoHealthCheck": {
    "Status": "failed",
    "Dip": "10.0.0.1",
    "Interval": 3,
    "Retry": 3,
    "Sip": "192.168.1.1",
    "Enable": "true",
    "Policy": "revoke_route"
  },
  "VpnBgpConfig": {
    "Status": "success",
    "PeerBgpIp": "169.254.11.1",
    "TunnelCidr": "169.254.11.0/30",
    "EnableBgp": "true",
    "LocalBgpIp": "169.254.11.2",
    "PeerAsn": 65530,
    "LocalAsn": 65531,
    "AuthKey": "AuthKey****"
  },
  "AttachType": "CEN",
  "NetworkType": "public",
  "AttachInstanceId": "cen-lxxpbpalc776qz****",
  "Spec": "1000M",
  "State": "attached",
  "ZoneNo": "cn-hangzhou-h",
  "InternetIp": "47.XX.XX.162",
  "TransitRouterId": "tr-p0we2edef9qr44a85****",
  "TransitRouterName": "nametest",
  "CrossAccountAuthorized": false,
  "Tags": {
    "Tag": [
      {
        "Key": "TagKey",
        "Value": "TagValue"
      }
    ]
  },
  "TunnelOptionsSpecification": {
    "TunnelOptions": [
      {
        "TunnelId": "tun-opsqc4d97wni27****",
        "CustomerGatewayId": "cgw-p0wy363lucf1uyae8****",
        "EnableDpd": "true",
        "EnableNatTraversal": "true",
        "InternetIp": "47.21.XX.XX",
        "RemoteCaCertificate": "-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----",
        "Role": "master",
        "TunnelIndex": 0,
        "State": "active",
        "Status": "ipsec_sa_established",
        "TunnelBgpConfig": {
          "BgpStatus": "success",
          "LocalAsn": "65530",
          "LocalBgpIp": "169.254.10.1",
          "PeerAsn": "65531",
          "PeerBgpIp": "169.254.10.2",
          "TunnelCidr": "169.254.10.0/30"
        },
        "TunnelIkeConfig": {
          "IkeAuthAlg": "sha1",
          "IkeEncAlg": "aes",
          "IkeLifetime": "86400",
          "IkeMode": "main",
          "IkePfs": "group2",
          "IkeVersion": "ikev1",
          "LocalId": "47.21.XX.XX",
          "Psk": "123456****",
          "RemoteId": "47.42.XX.XX"
        },
        "TunnelIpsecConfig": {
          "IpsecAuthAlg": "sha1",
          "IpsecEncAlg": "aes",
          "IpsecLifetime": "86400",
          "IpsecPfs": "group2"
        },
        "ZoneNo": "cn-hangzhou-i"
      }
    ]
  },
  "EnableTunnelsBgp": true,
  "ResourceGroupId": "rg-acfmzs372yg****"
}

错误码

HTTP status code错误码错误信息描述
403Forbbiden.SubUserUser not authorized to operate on the specified resource as your account is created by another user.您没有权限操作该资源,请您申请操作权限后再试。
403ForbiddenUser not authorized to operate on the specified resource.您没有权限操作指定资源,请申请权限后再操作。
404InvalidVpnConnectionInstanceId.NotFoundThe specified vpn connection instance id does not exist.指定的VPN连接不存在,请您检查该VPN连接ID是否正确。

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2023-10-19OpenAPI 去除了 deprecated 标记、OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2023-08-01OpenAPI 描述信息更新、OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2023-06-30OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2023-06-13OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情
2023-05-04OpenAPI 错误码发生变更、OpenAPI 返回结构发生变更查看变更详情