ModifyTunnelAttribute - 修改VPN隧道信息

调用ModifyTunnelAttribute接口修改高可用VPN的隧道配置信息。

调试

您可以在OpenAPI Explorer中直接运行该接口,免去您计算签名的困扰。运行成功后,OpenAPI Explorer可以自动生成SDK代码示例。

授权信息

下表是API对应的授权信息,可以在RAM权限策略语句的Action元素中使用,用来给RAM用户或RAM角色授予调用此API的权限。具体说明如下:

  • 操作:是指具体的权限点。
  • 访问级别:是指每个操作的访问级别,取值为写入(Write)、读取(Read)或列出(List)。
  • 资源类型:是指操作中支持授权的资源类型。具体说明如下:
    • 对于必选的资源类型,用背景高亮的方式表示。
    • 对于不支持资源级授权的操作,用全部资源表示。
  • 条件关键字:是指云产品自身定义的条件关键字。
  • 关联操作:是指成功执行操作所需要的其他权限。操作者必须同时具备关联操作的权限,操作才能成功。
操作访问级别资源类型条件关键字关联操作
vpc:ModifyTunnelAttributeupdate
*VpnConnection
acs:vpc:{#regionId}:{#accountId}:vpnconnection/{#VpnConnectionId}

请求参数

名称类型必填描述示例值
ClientTokenstring

客户端 Token,用于保证请求的幂等性。

从您的客户端生成一个参数值,确保不同请求间该参数值唯一。ClientToken 只支持 ASCII 字符。

说明 若您未指定,则系统自动使用 API 请求的 RequestId 作为 ClientToken 标识。每次 API 请求的 RequestId 不一样。
02fb3da4-130e-11e9-8e44-0016e04115b
TunnelOptionsSpecificationobject

修改隧道的配置。

EnableDpdboolean

是否开启 DPD(对等体存活检测)功能。取值:

  • true:开启 DPD 功能。隧道发起端会发送 DPD 报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,隧道将删除 ISAKMP SA 和相应的 IPsec SA,隧道同样也会被删除。

  • false:不开启 DPD 功能,隧道发起端不会发送 DPD 探测报文。

true
EnableNatTraversalboolean

是否开启 NAT 穿越功能。取值:

  • true:开启 NAT 穿越功能。开启后,IKE 协商过程会删除对 UDP 端口号的验证过程,同时实现对 VPN 隧道中 NAT 网关设备的发现功能。

  • false:不开启 NAT 穿越功能。

true
RemoteCaCertificatestring

在国密型 VPN 网关下使用 IPsec 连接时,对端的 CA 证书。

-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----
TunnelBgpConfigobject

修改隧道的 BGP 配置。

如果隧道之前并未开启 BGP 功能,您需要调用 ModifyVpnConnectionAttribute 接口为隧道开启 BGP 功能并添加 BGP 配置。

LocalAsnlong

隧道本端自治系统号。自治系统号取值范围:1~4294967295

65530
LocalBgpIpstring

隧道本端的 BGP IP 地址。该地址需是 TunnelCidr 内的一个 IP 地址。

169.254.11.1
TunnelCidrstring

隧道本端 BGP IP 地址所属网段。

该网段需是一个在 169.254.0.0/16 内的掩码长度为 30 的网段,且不能是 169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30 和 169.254.169.252/30。

说明 一个 VPN 网关实例下每个 IPsec 连接的 IPsec 隧道网段需保持唯一。
169.254.11.0/30
TunnelIkeConfigobject

修改隧道 IKE 阶段(第一阶段)配置。

IkeAuthAlgstring

第一阶段协商的认证算法。

  • 如果 IPsec 关联的是普通型 VPN 网关,则取值为:md5sha1sha256sha384sha512
  • 如果 IPsec 关联的是国密型 VPN 网关,则取值为:sm3
sha1
IkeEncAlgstring

第一阶段协商的加密算法。

  • 如果 IPsec 关联的是普通型 VPN 网关,则取值为:aesaes192aes256des3des
  • 如果 IPsec 关联的是国密型 VPN 网关,则取值为:sm4
aes
IkeLifetimelong

第一阶段协商出的 SA 的生存周期。单位:秒。取值范围:0~86400

86400
IkeModestring

IKE 版本的协商模式。取值:

  • main:主模式,协商过程安全性高。
  • aggressive:野蛮模式,协商快速且协商成功率高。
main
IkePfsstring

第一阶段协商使用的 Diffie-Hellman 密钥交换算法。取值:group1group2group5group14

group2
IkeVersionstring

IKE 协议的版本。取值:ikev1ikev2

ikev2
LocalIdstring

隧道本端的标识。长度限制为 100 个字符,,不能包含空格,支持 FQDN 和 IP 格式。默认值为隧道的 IP 地址。

47.XX.XX.87
Pskstring

预共享密钥,用于隧道及对端之间的身份认证。

  • 密钥长度为 1~100 个字符,支持数字、大小写英文字母以及右侧字符,不能包含空格。~!`@#$%^&*()_-+={}[]|;:',.<>/?
  • 若您未指定预共享密钥,系统会随机生成一个 16 位的字符串作为预共享密钥。您可以调用 DescribeVpnConnection 接口查询系统自动生成的预共享密钥。
说明 隧道及隧道对端配置的预共享密钥必须一致,否则系统无法成功建立隧道。
123456****
RemoteIdstring

隧道对端的标识。长度限制为 100 个字符,不能包含空格,支持 FQDN 和 IP 格式。默认值为隧道关联的用户网关实例的 IP 地址。

47.XX.XX.207
TunnelIpsecConfigobject

修改隧道 IPsec 阶段(第二阶段)的配置。

IpsecAuthAlgstring

第二阶段协商的认证算法。

  • 如果 IPsec 关联的是普通型 VPN 网关,则取值为:md5sha1sha256sha384sha512
  • 如果 IPsec 关联的是国密型 VPN 网关,则取值为:sm3
sha1
IpsecEncAlgstring

第二阶段协商的加密算法。

  • 如果 IPsec 关联的是普通型 VPN 网关,则取值为:aesaes192aes256des3des
  • 如果 IPsec 关联的是国密型 VPN 网关,则取值为:sm4
aes
IpsecLifetimelong

第二阶段协商出的 SA 的生存周期。单位:秒。取值范围:0~86400

86400
IpsecPfsstring

第二阶段协商使用的 Diffie-Hellman 密钥交换算法。取值:disabledgroup1group2group5group14

group2
CustomerGatewayIdstring

隧道关联的用户网关实例 ID。

cgw-1nmwbpgrp7ssqm1yn****
RegionIdstring

IPsec 连接所属的地域 ID。

您可以通过调用 DescribeRegions 接口获取地域 ID。

cn-hangzhou
VpnConnectionIdstring

IPsec 连接 ID。

vco-gw69vm1i71y354****
TunnelIdstring

隧道 ID。

tun-gbyz2e070xzo93****

返回参数

名称类型描述示例值
object

返回结果。

TunnelIdstring

隧道 ID。

tun-gbyz2e070xzo93****
RequestIdstring

请求 ID。

E6F36FF0-9544-3AEE-8673-A4647D50064C
TunnelIkeConfigobject

隧道 IKE 阶段(第一阶段)配置。

IkeAuthAlgstring

IKE 认证算法。

sha1
IkeEncAlgstring

IKE 加密算法。

aes
IkeLifetimelong

IKE 生存时间。单位:秒。

86400
IkeModestring

IKE 协商模式。

  • main:主模式,协商过程安全性高。
  • aggressive:野蛮模式,协商快速且协商成功率高。
main
IkePfsstring

DH 分组。

group2
IkeVersionstring

IKE 协议版本。

  • ikev1
  • ikev2

相对于 IKEv1 版本,IKEv2 版本简化了 SA 的协商过程并且对于多网段的场景提供了更好的支持。

ikev2
LocalIdstring

隧道本端的标识。支持 FQDN 和 IP 格式,默认值为当前隧道的 IP 地址。

47.XX.XX.87
Pskstring

预共享密钥。

123456****
RemoteIdstring

隧道对端的标识。支持 FQDN 和 IP 格式,默认值为隧道关联的用户网关实例的 IP 地址。

47.XX.XX.207
TunnelIpsecConfigobject

隧道 IPsec 阶段(第二阶段)的配置。

IpsecAuthAlgstring

IPsec 认证算法。

sha1
IpsecEncAlgstring

IPsec 加密算法。

aes
IpsecLifetimelong

IPsec 生存时间。单位:秒。

86400
IpsecPfsstring

DH 分组。

group2
TunnelBgpConfigobject

隧道的 BGP 配置信息。

EnableBgpboolean

BGP 的开启状态。

  • true:已开启。

  • false:未开启。

true
LocalAsnlong

隧道本端的自治系统号。

65530
LocalBgpIpstring

隧道本端的 BGP IP 地址。

169.254.11.1
PeerAsnlong

隧道对端的自治系统号。

65531
PeerBgpIpstring

隧道对端的 BGP IP 地址。

169.254.11.2
TunnelCidrstring

隧道 BGP IP 地址所属网段。

169.254.11.0/30
EnableNatTraversalboolean

是否已开启 NAT 穿越功能。取值:

  • false:未开启。

  • true:已开启。

true
EnableDpdboolean

是否已开启 DPD(对等体存活检测)功能。

  • false:未开启。

  • true:已开启。

true
RemoteCaCertificatestring

国密型 VPN 网关创建 IPsec 连接时,对端的 CA 证书。

-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----
CustomerGatewayIdstring

隧道关联的用户网关实例 ID。

cgw-p0wx48ayhrygitm80****
Rolestring

隧道的角色。

  • master:表示主隧道。
  • slave:表示备隧道。
master
ZoneNostring

隧道所属的可用区。

cn-hangzhou-h
InternetIpstring

隧道的 IP 地址。

47.XX.XX.87
Statestring

隧道的状态。

  • active:表示隧道状态可用。
  • updating:表示隧道正在更新中。
  • deleting:表示隧道正在删除中。
active

示例

正常返回示例

JSON格式

{
  "TunnelId": "tun-gbyz2e070xzo93****",
  "RequestId": "E6F36FF0-9544-3AEE-8673-A4647D50064C",
  "TunnelIkeConfig": {
    "IkeAuthAlg": "sha1",
    "IkeEncAlg": "aes",
    "IkeLifetime": 86400,
    "IkeMode": "main",
    "IkePfs": "group2",
    "IkeVersion": "ikev2",
    "LocalId": "47.XX.XX.87",
    "Psk": "123456****",
    "RemoteId": "47.XX.XX.207"
  },
  "TunnelIpsecConfig": {
    "IpsecAuthAlg": "sha1",
    "IpsecEncAlg": "aes",
    "IpsecLifetime": 86400,
    "IpsecPfs": "group2"
  },
  "TunnelBgpConfig": {
    "EnableBgp": true,
    "LocalAsn": 65530,
    "LocalBgpIp": "169.254.11.1",
    "PeerAsn": 65531,
    "PeerBgpIp": "169.254.11.2",
    "TunnelCidr": "169.254.11.0/30"
  },
  "EnableNatTraversal": true,
  "EnableDpd": true,
  "RemoteCaCertificate": "-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----",
  "CustomerGatewayId": "cgw-p0wx48ayhrygitm80****",
  "Role": "master",
  "ZoneNo": "cn-hangzhou-h",
  "InternetIp": "47.XX.XX.87",
  "State": "active"
}

错误码

HTTP status code错误码错误信息描述
400VpnGateway.ConfiguringThe specified service is configuring.服务正在配置中,请您稍后再试。
400VpnGateway.FinancialLockedThe specified service is financial locked.该服务已欠费,请您先充值再操作。
400InvalidNameThe name is not valid该名称格式不合法。
400VpnRouteEntry.AlreadyExistsThe specified route entry is already exist.该路由已存在。
400VpnRouteEntry.ConflictThe specified route entry has conflict.路由条目存在冲突。
400NotSupportVpnConnectionParameter.IpsecPfsThe specified vpn connection ipsec Ipsec Pfs is not support.IPsec连接中指定的Pfs参数不支持
400NotSupportVpnConnectionParameter.IpsecAuthAlgThe specified vpn connection ipsec Auth Alg is not support.IPsec连接中指定的认证算法不支持
400VpnConnectionParamInvalid.SameVpnAndCgwDifferentIkeConfigsIPSec connections associated with the same user gateway and VPN gateway should have the same pre-shared key and IKE configuration.检测到多个IPsec连接关联了相同的VPN网关和用户网关,多个IPsec连接的预共享密钥和IKE阶段的配置参数需保持相同。
400VpnConnectionParamInvalid.SameVpnAndCgwTrafficSelectorOverlapTraffic selectors of IPSec connections associated with the same user gateway and VPN gateway should not overlap.检测到多个IPsec连接关联了相同的VPN网关和用户网关,多个IPsec连接的感兴趣流网段不能重叠。
400IllegalParam.LocalAsnThe param of LocalAsn is illegalLocalAsn参数不合法
400IllegalParam.LocalBgpIpThe specified LocalBgpIp is invalid.本端BGP地址不合法。
400VpnGateway.task.conflictThe VPN is in the configuration state, please wait a while before operating.该VPN处于正在配置状态,请稍等一会再进行操作。
400ModifyIkeV1WithMultiRoutes.InvalidFailed to modify VPN connection parameters. Multi-network is configured while using IkeV1 protocol.修改VPN连接参数失败,在使用IkeV1协议的同时配置了多网端。
403Forbbiden.SubUserUser not authorized to operate on the specified resource as your account is created by another user.您没有权限操作该资源,请您申请操作权限后再试。
403ForbiddenUser not authorized to operate on the specified resource.您没有权限操作指定资源,请申请权限后再操作。
404InvalidVpnConnectionInstanceId.NotFoundThe specified vpn connection instance id does not exist.指定的VPN连接不存在,请您检查该VPN连接ID是否正确。

访问错误中心查看更多错误码。

变更历史

变更时间变更内容概要操作
2024-10-24OpenAPI 错误码发生变更查看变更详情
2024-01-04OpenAPI 描述信息更新、OpenAPI 错误码发生变更查看变更详情
2023-08-21OpenAPI 错误码发生变更查看变更详情