文档

创建和管理IPsec连接(绑定转发路由器)

更新时间:

在使用IPsec-VPN建立本地数据中心与转发路由器网络连接的过程中,您需要创建IPsec连接以建立加密通信通道。本文介绍如何创建和管理IPsec连接。

前提条件

在创建IPsec连接前,请您先了解IPsec-VPN连接的使用流程,并依据使用流程完成创建IPsec连接前的所有操作步骤。更多信息,请参见使用流程

创建IPsec连接

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

    IPsec连接的地域需和待绑定的转发路由器实例所属的地域相同。

  4. IPsec连接页面,单击创建IPsec连接

  5. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定

    基本配置

    说明

    在您创建第一个VPN网关实例或第一个IPsec连接(指IPsec连接绑定转发路由器的场景)时,系统将自动创建服务关联角色AliyunServiceRoleForVpn,该服务关联角色允许VPN网关对弹性网卡、安全组等资源进行操作,以便您可以成功创建VPN网关实例或IPsec连接。如果您的账号下已存在该服务关联角色,系统则不会重复创建。关于AliyunServiceRoleForVpn的更多信息,请参见AliyunServiceRoleForVpn

    配置

    说明

    名称

    输入IPsec连接的名称。

    资源组

    选择云企业网实例所属的资源组。

    如果您不选择,系统直接展示所有资源组下的云企业网实例。

    绑定资源

    选择IPsec连接绑定的资源类型。请选择云企业网或者不绑定

    • 如果您选择云企业网,则系统在创建IPsec连接的过程中直接将IPsec绑定至您指定的同账号的转发路由器实例。

    • 如果您选择不绑定,则IPsec连接被创建后不会绑定任何资源。后续您可以在云企业网CEN(Cloud Enterprise Network)管理控制台将该IPsec连接绑定至同账号或者跨账号的转发路由器实例。具体操作,请参见创建VPN连接

      说明

      如果您需要更换IPsec连接绑定的转发路由器实例,您需要先在原转发路由器实例下卸载VPN连接,然后在目标转发路由器下重新创建VPN连接。具体操作,请参见删除网络实例连接创建VPN连接

    网关类型

    选择IPsec连接的网络类型。

    • 公网(默认值):表示通过公网建立IPsec-VPN连接。

    • 私网:表示通过私网建立IPsec-VPN连接。

    云企业网实例ID

    选择转发路由器实例所属的云企业网实例。

    转发路由器

    系统直接展示云企业网实例在该地域创建的转发路由器实例ID。

    可用区

    选择可用区。

    系统将在您选择的可用区下创建资源。

    路由模式

    选择IPsec连接的路由模式。

    • 目的路由模式(默认值):基于目的IP地址路由和转发流量。

    • 感兴趣流模式:基于源IP地址和目的IP地址精确的路由和转发流量。

      选择感兴趣流模式后,您需要配置本端网段对端网段。IPsec连接配置完成后,系统自动在IPsec连接下的目的路由表中添加目的路由,路由默认会被发布至IPsec连接关联的转发路由器的路由表中。

    本端网段

    输入需要和本地数据中心互通的阿里云侧的网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和本地数据中心互通的阿里云侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    对端网段

    输入需要和阿里云互通的本地数据中心侧的网段,用于第二阶段协商。

    单击文本框右侧的添加图标,可添加多个需要和阿里云侧互通的本地数据中心侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    立即生效

    选择IPsec连接的配置是否立即生效。

    • (默认值):配置完成后系统立即进行IPsec协议协商。

    • :当有流量进入时系统才进行IPsec协议协商。

    用户网关

    选择IPsec连接待关联的用户网关。

    预共享密钥

    输入IPsec连接的认证密钥,用于转发路由器实例与本地数据中心之间的身份认证。

    • 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?

    • 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接

    重要

    IPsec连接两侧配置的预共享密钥需一致,否则系统无法正常建立IPsec连接。

    启用BGP

    如果IPsec连接需要使用BGP路由协议,需要打开BGP功能的开关,系统默认关闭BGP功能。

    使用BGP动态路由功能前,建议您先了解BGP动态路由功能工作机制和使用限制。更多信息,请参见配置BGP动态路由

    本端自治系统号

    如果IPsec连接启用了BGP功能,需输入IPsec连接阿里云侧的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295

    支持按照两段位的格式进行输入,即:前16位比特.后16位比特。每个段位使用十进制输入。

    例如输入123.456,则表示自治系统号:123*65536+456=8061384。

    说明

    建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

    加密配置

    配置

    说明

    加密配置:IKE配置

    版本

    选择IKE协议的版本。

    • ikev1

    • ikev2(默认值)

      相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,推荐选择IKEv2版本。

    协商模式

    选择协商模式。

    • main(默认值):主模式,协商过程安全性高。

    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。

    加密算法

    选择第一阶段协商使用的加密算法。

    加密算法支持aes(aes128,默认值)、aes192aes256des3des

    认证算法

    选择第一阶段协商使用的认证算法。

    认证算法支持sha1(默认值)、md5sha256sha384sha512

    DH分组

    选择第一阶段协商的Diffie-Hellman密钥交换算法。

    • group1:表示DH分组中的DH1。

    • group2(默认值):表示DH分组中的DH2。

    • group5:表示DH分组中的DH5。

    • group14:表示DH分组中的DH14。

    SA生存周期(秒)

    设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400

    LocalId

    为IPsec连接阿里云侧的标识,用于第一阶段的协商。默认值为IPsec连接的网关IP地址。

    该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式。推荐使用私网IP地址作为IPsec连接阿里云侧的标识。

    如果LocalId使用了FQDN格式,例如输入example.aliyun.com,则本地数据中心侧IPsec连接的对端ID需与LocalId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。

    RemoteId

    为IPsec连接本地数据中心侧的标识,用于第一阶段的协商。默认值为用户网关的IP地址。

    该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地数据中心,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式。推荐使用私网IP地址作为IPsec连接本地数据中心侧的标识。

    如果RemoteId使用了FQDN格式,例如输入example.aliyun.com,则本地数据中心侧IPsec连接的本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。

    加密配置:IPsec配置

    加密算法

    选择第二阶段协商的加密算法。

    加密算法支持aes(aes128,默认值)、aes192aes256des3des

    认证算法

    选择第二阶段协商的认证算法。

    认证算法支持sha1(默认值)、md5sha256sha384sha512

    DH分组

    选择第二阶段协商的Diffie-Hellman密钥交换算法。

    • disabled:表示不使用DH密钥交换算法。

      • 对于不支持PFS的客户端请选择disabled

      • 如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。

    • group1:表示DH分组中的DH1。

    • group2(默认值):表示DH分组中的DH2。

    • group5:表示DH分组中的DH5。

    • group14:表示DH分组中的DH14。

    SA生存周期(秒)

    设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400

    DPD

    选择开启或关闭对等体存活检测DPD(Dead Peer Detection)功能。DPD功能默认开启。

    开启DPD功能后,IPsec发起端会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。

    NAT穿越

    选择开启或关闭NAT(Network Address Translation)穿越功能。NAT穿越功能默认开启。

    开启NAT穿越功能后,IKE协商过程会删除对UDP端口号的验证过程,同时能帮您发现加密通信通道中的NAT网关设备。

    BGP配置

    如果您为IPsec连接开启了BGP功能,您需要指定BGP隧道网段以及阿里云侧BGP隧道IP地址。

    配置项

    说明

    隧道网段

    输入IPsec隧道的网段。

    隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

    本端BGP地址

    输入IPsec连接阿里云侧的BGP IP地址。

    该地址为隧道网段内的一个IP地址。

    健康检查

    系统默认关闭健康检查功能,在添加健康检查配置前,请先打开健康检查功能。

    重要

    为IPsec连接配置健康检查功能后,请在本地数据中心侧添加一条目标网段为源IP,子网掩码为32位,下一跳指向IPsec连接的路由条目,以确保IPsec连接健康检查功能正常工作。

    配置项

    说明

    目标IP

    输入阿里云侧通过IPsec连接可以访问的本地数据中心的IP地址。

    说明

    请确保目的IP地址支持ICMP应答。

    源IP

    输入本地数据中心通过IPsec连接可以访问的阿里云侧的IP地址。

    重试间隔

    选择健康检查的重试间隔时间。单位:秒。默认值:3

    重试次数

    选择健康检查的重试次数。默认值:3

    切换路由

    选择健康检查失败后是否允许系统撤销已发布的路由。默认值:,即健康检查失败后,允许系统撤销已发布的路由。

    如果您取消选中,则健康检查失败后,系统不会撤销已发布的路由。

    高级配置

    创建IPsec连接时,系统默认帮您选中以下三种高级功能。

    配置项

    说明

    自动发布路由

    开启本功能后,系统会将转发路由器路由表(指IPsec连接关联的转发路由器路由表)中的路由条目自动传播至IPsec连接的BGP路由表中。

    说明
    • 在IPsec连接和本地数据中心之间运行BGP动态路由协议的情况下,本功能才会生效。

    • 后续您也可以通过自动发布路由功能关闭该功能。具体操作,请参见关闭路由同步

    自动关联至转发路由器的默认路由表

    开启本功能后,IPsec连接会关联至转发路由器的默认路由表,转发路由器会通过查询默认路由表转发来自IPsec连接的流量。

    自动传播系统路由至转发路由器的默认路由表

    开启本功能后,系统会将IPsec连接目的路由表和BGP路由表中的路由传播至转发路由器的默认路由表中。

    您也可以取消选中以上高级功能,后续通过转发路由器的多个路由功能自定义网络连通性。具体操作,请参见路由管理

    标签

    创建IPsec连接时支持为IPsec连接添加标签,您可以通过标签对IPsec连接进行标记和分类,便于资源的搜索和聚合。更多信息,请参见标签

    配置项

    说明

    标签键

    为IPsec连接添加标签键,支持选择已有标签键或输入新的标签键。

    标签值

    为IPsec连接添加标签值,支持选择已有标签值或输入新的标签值。标签值可以为空。

后续步骤

IPsec连接创建完成后,您需要下载IPsec连接对端配置并添加到本地网关设备中。具体操作,请参见下载IPsec连接对端配置配置本地网关设备

下载IPsec连接配置

创建IPsec连接后,您可以下载IPsec连接的配置,用于后续配置本地网关设备。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,在操作列单击生成对端配置

  5. IPsec连接配置对话框复制配置并保存到您本地,以便用于配置本地网关设备。

    如何配置本地网关设备,请参见配置本地网关设备

IPsec连接向跨账号的转发路由器实例授权

IPsec连接支持与跨账号的转发路由器实例绑定。在IPsec连接与跨账号的转发路由器实例绑定前,IPsec连接需要向跨账号的转发路由器实例授权。

在执行授权操作前,请确保IPsec连接未绑定任何资源,如果IPsec连接已绑定转发路由器实例,则需先解除绑定关系。具体操作,请参见删除网络实例连接

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

  5. 在IPsec连接详情页面的云企业网跨账号授权页签,单击云企业网跨账号授权

  6. 加入云企业网对话框,根据以下信息进行配置,然后单击确定

    配置项

    说明

    对方账号UID

    转发路由器实例所属阿里云账号(主账号)ID。

    对方云企业网实例ID

    转发路由器实例所属的云企业网实例ID。

    资费承担方式

    选择付费方。

    • CEN用户承担资费(默认值):表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由转发路由器实例所属的账号承担。

    • VPN用户承担资费:表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由IPsec连接所属的账号承担。

    重要
    • 请谨慎选择资费承担方。变更资费承担方,可能会影响您的业务。更多信息,请参见变更网络实例资费承担方

    • 转发路由器实例绑定IPsec连接后产生的IPsec连接实例费、IPsec连接流量费仍旧由IPsec连接所属的账号承担。

  7. 记录IPsec连接ID和IPsec连接所属的阿里云账号(主账号)ID,以便后续创建VPN连接。具体操作,请参见创建VPN连接

    您可以在账号管理页面查看账号ID。账号查看

修改IPsec连接

  • 如果IPsec连接已绑定转发路由器实例,不支持修改IPsec连接关联的转发路由器实例、部署的可用区以及网关类型,您可以修改IPsec连接关联的用户网关、路由模式、预共享密钥、加密配置等信息。

  • 如果IPsec连接当前未绑定任何资源,不支持修改IPsec连接关联的用户网关以及网关类型,您可以修改IPsec连接的路由模式、预共享密钥、加密配置等信息。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,在操作列单击编辑

  5. 编辑IPsec连接页面,修改IPsec连接的名称、加密配置、互通网段等配置,然后单击确定

    关于参数的详细说明,请参见创建IPsec连接

取消IPsec连接向跨账号转发路由器实例的授权

如果您不再需要IPsec连接被绑定至跨账号的转发路由器实例,您可以取消IPsec连接向跨账号的转发路由器实例的授权。

如果跨账号的转发路由器实例已经与IPsec连接建立了绑定关系,请先解除跨账号转发路由器实例与网络实例的绑定关系。具体操作,请参见删除网络实例连接

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

  5. 在IPsec连接详情页面的云企业网跨账号授权页签,找到目标授权记录,在操作列单击取消授权

  6. 取消授权对话框,确认信息,然后单击确定

删除IPsec连接

如果IPsec连接绑定了转发路由器实例,在执行操作前,请确保IPsec连接已经和转发路由器实例解绑。具体操作,请参见删除网络实例连接

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。
  4. IPsec连接页面,找到目标IPsec连接,在操作列单击删除

  5. 在弹出的对话框中,确认信息,然后单击确定

通过调用API创建和管理IPsec连接

支持通过阿里云 SDK(推荐)阿里云 CLITerraform资源编排等工具调用API创建和管理IPsec连接。相关API说明,请参见:

  • 本页导读