AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 VPN网关 IPsec-VPN 操作指南 绑定转发路由器 创建和管理IPsec连接(双隧道模式)

创建和管理IPsec连接(双隧道模式)

更新时间:
产品详情
我的收藏

在使用IPsec-VPN建立本地数据中心与转发路由器网络连接的过程中,您需要创建IPsec连接以建立加密通信通道。本文介绍如何创建和管理双隧道模式的IPsec连接。

前提条件

创建IPsec连接

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. IPsec连接页面,单击绑定云企业网

  4. 创建IPsec连接(CEN)页面,根据以下信息配置IPsec连接,然后单击确定

    基本配置

    说明

    在您创建第一个VPN网关实例或第一个IPsec连接(指IPsec连接绑定转发路由器的场景)时,系统将自动创建服务关联角色AliyunServiceRoleForVpn,该服务关联角色允许VPN网关对弹性网卡、安全组等资源进行操作,以便您可以成功创建VPN网关实例或IPsec连接。如果您的账号下已存在该服务关联角色,系统则不会重复创建。关于AliyunServiceRoleForVpn的更多信息,请参见AliyunServiceRoleForVpn

    配置

    说明

    IPsec连接名称

    输入IPsec连接的名称。

    地域

    选择待绑定的转发路由器所属的地域。

    IPsec连接创建完成后所属地域与转发路由器地域相同。

    资源组筛选

    选择云企业网实例所属的资源组。

    如果您不选择,系统直接展示所有资源组下的云企业网实例。

    网关类型

    选择IPsec连接的网络类型。

    • 公网(默认值):表示通过公网建立IPsec-VPN连接。

    • 私网:表示基于私网建立IPsec-VPN连接,实现私网流量的加密通信。

    绑定云企业网

    选择IPsec连接要绑定的转发路由器所属账号。

    • 本账号绑定:选择此项后,您需要指定当前账号下的一个云企业网实例,创建IPsec连接时,系统会直接将IPsec连接绑定至云企业网实例中当前地域的转发路由器实例。

    • 跨账号绑定:选择此项后,IPsec连接创建完成后默认未绑定转发路由器,您在IPsec连接详情页面进行跨账号授权操作后,可将IPsec连接绑定至跨账号的转发路由器实例

      如果未进行跨账号授权操作,则IPsec连接仅可被绑定至本账号的转发路由器实例。

    说明

    如果要更换IPsec连接绑定的转发路由器实例,您需要先在原转发路由器实例下卸载VPN连接,然后在目标转发路由器下重新创建VPN连接

    云企业网实例ID

    选择转发路由器实例所属的云企业网实例。

    系统将会一并展示云企业网实例在该地域创建的转发路由器实例ID和转发路由器地址段,IPsec连接将会被绑定至该转发路由器。

    说明

    仅当绑定云企业网选择本账号绑定时,需要配置该项。

    路由模式

    选择IPsec连接的路由模式。

    • 目的路由模式(默认值):基于目的IP地址路由和转发流量。

    • 感兴趣流模式:基于源IP地址和目的IP地址精确地路由和转发流量。

      选择感兴趣流模式后,您需要配置本端网段对端网段。IPsec连接配置完成后,系统自动在IPsec连接下的目的路由表中添加目的路由,路由默认会被发布至IPsec连接关联的转发路由器的路由表中。

    本端网段

    路由模式选择感兴趣流模式时,需输入需要和本地数据中心互通的阿里云侧的网段。第二阶段协商时会协商两端的感兴趣流,阿里云侧本端网段和本地数据中心侧对端网段建议保持一致。

    单击文本框右侧的添加图标,可添加多个需要和本地数据中心互通的阿里云侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    对端网段

    路由模式选择感兴趣流模式时,需输入需要和阿里云互通的本地数据中心侧的网段。第二阶段协商时会协商两端的感兴趣流,阿里云侧对端网段和本地数据中心侧本端网段建议保持一致。

    单击文本框右侧的添加图标,可添加多个需要和阿里云侧互通的本地数据中心侧的网段。

    说明

    如果您配置了多个网段,则后续IKE协议的版本需要选择为ikev2

    立即生效

    选择IPsec连接的配置是否立即生效。

    • (默认值):配置完成后系统立即进行IPsec协议协商。

    • :当有流量进入时系统才进行IPsec协议协商。

    隧道配置

    重要

    创建双隧道模式的IPsec连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接链路冗余能力以及可用区级别的容灾能力。

    配置

    说明

    启用BGP

    如果IPsec连接需要使用BGP路由协议,需要打开BGP功能。系统默认关闭BGP功能。

    使用BGP动态路由功能前,请确保您的本地网关设备支持BGP功能,同时建议您先了解BGP动态路由工作机制和使用限制。

    本端自治系统号

    启用BGP功能后,输入隧道本端(阿里云侧)的自治系统号,两条隧道使用相同的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295

    说明

    建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

    用户网关

    选择隧道待关联的用户网关。

    预共享密钥

    输入隧道的认证密钥,用于隧道与隧道对端之间的身份认证。

    • 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。

    • 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过隧道的编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改隧道的配置

    重要

    隧道及隧道对端的预共享密钥需一致,否则系统无法正常建立隧道。

    加密配置

    配置

    说明

    加密配置:IKE配置

    版本

    选择IKE协议的版本。

    • ikev1

    • ikev2(默认值)

      相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,推荐选择IKEv2版本。

    协商模式

    选择协商模式。

    • main(默认值):主模式,协商过程安全性高。

    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。

    加密算法

    选择第一阶段协商使用的加密算法。

    加密算法支持aes(aes128,默认值)、aes192aes256des3des

    说明

    推荐使用aesaes192aes256加密算法,不推荐使用des3des加密算法。

    • aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。

    • 3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。

    认证算法

    选择第一阶段协商使用的认证算法。

    认证算法支持sha1(默认值)、md5sha256sha384sha512

    说明

    在部分本地网关设备上添加VPN配置时,可能需要指定PRF算法,PRF算法与IKE阶段认证算法保持一致即可。

    DH分组

    选择第一阶段协商的Diffie-Hellman密钥交换算法。

    • group1:表示DH分组中的DH1。

    • group2(默认值):表示DH分组中的DH2。

    • group5:表示DH分组中的DH5。

    • group14:表示DH分组中的DH14。

    SA生存周期(秒)

    设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400

    LocalId

    输入隧道本端的标识符,用于第一阶段的协商。默认值为隧道的网关IP地址。

    该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为隧道本端的标识。

    如果LocalId使用了FQDN格式,例如输入example.aliyun.com,则本地网关设备上IPsec连接的对端ID需与LocalId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。

    RemoteId

    输入隧道对端的标识符,用于第一阶段的协商。默认值使用隧道关联的用户网关中的IP地址作为隧道对端标识符。

    该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地网关设备,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为隧道对端的标识。

    如果RemoteId使用了FQDN格式,例如输入example.aliyun.com,则本地网关设备上本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。

    加密配置:IPsec配置

    加密算法

    选择第二阶段协商的加密算法。

    加密算法支持aes(aes128,默认值)、aes192aes256des3des

    说明

    推荐使用aesaes192aes256加密算法,不推荐使用des3des加密算法。

    • aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。

    • 3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。

    认证算法

    选择第二阶段协商的认证算法。

    认证算法支持sha1(默认值)、md5sha256sha384sha512

    DH分组

    选择第二阶段协商的Diffie-Hellman密钥交换算法。

    • disabled:表示不使用DH密钥交换算法。

      • 如果隧道对端的本地网关设备不支持PFS,请选择disabled

      • 如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的隧道对端的本地网关设备也要开启PFS功能。

    • group1:表示DH分组中的DH1。

    • group2(默认值):表示DH分组中的DH2。

    • group5:表示DH分组中的DH5。

    • group14:表示DH分组中的DH14。

    SA生存周期(秒)

    设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400

    DPD

    选择开启或关闭对等体存活检测DPD(Dead Peer Detection)功能。DPD功能默认开启。

    开启DPD功能后,IPsec连接会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec连接将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。DPD检测超时后,IPsec连接会自动重新发起IPsec-VPN隧道协商。DPD报文的超时时间为30秒。

    NAT穿越

    选择开启或关闭NAT(Network Address Translation)穿越功能。NAT穿越功能默认开启。

    开启NAT穿越功能后,IKE协商过程会删除对UDP端口号的验证过程,同时能帮您发现加密通信通道中的NAT网关设备。

    BGP配置

    如果您已经打开了IPsec连接的BGP功能,您可以根据以下信息指定BGP隧道网段以及阿里云侧BGP隧道IP地址。如果您未打开IPsec连接的BGP功能,支持在创建IPsec连接后单独为隧道开启BGP功能并添加相应配置。

    配置项

    说明

    隧道网段

    输入隧道网段。

    隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30169.254.169.252/30。

    说明

    一个IPsec连接下两条隧道的隧道网段不能相同。

    本端BGP地址

    输入隧道本端的BGP IP地址。

    该地址为隧道网段内的一个IP地址。

    高级配置

    创建IPsec连接时如果直接绑定本账号的转发路由器,系统会默认选中以下三种高级功能帮助您配置路由。您也可以取消选中以下高级功能,后续通过转发路由器的多个路由功能自定义网络连通性。

    配置项

    说明

    自动发布路由

    开启本功能后,系统会将转发路由器路由表(指IPsec连接关联的转发路由器路由表)中的路由条目自动传播至IPsec连接的BGP路由表中。

    说明

    • IPsec连接和本地数据中心之间运行BGP动态路由协议的情况下,本功能才会生效。

    • 后续您也可以通过自动发布路由功能关闭该功能。具体操作,请参见关闭路由同步

    自动关联至转发路由器的默认路由表

    开启本功能后,IPsec连接会关联至转发路由器的默认路由表,转发路由器会通过查询默认路由表转发来自IPsec连接的流量。

    自动传播系统路由至转发路由器的默认路由表

    开启本功能后,系统会将IPsec连接目的路由表和BGP路由表中的路由传播至转发路由器的默认路由表中。

  5. IPsec连接创建完成后,保持在IPsec连接页面,找到目标IPsec连接,在操作列单击生成对端配置

  6. IPsec连接配置对话框复制配置并保存到您本地,后续用于配置本地网关设备。

后续步骤

  1. 配置IPsec连接路由

  2. 根据下载的IPsec连接对端配置,配置本地网关设备

查看IPsec连接隧道信息

创建IPsec连接后,您可以在IPsec连接详情页面下查看两条隧道的状态和信息。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

  5. IPsec连接详情页面,查看IPsec连接两条隧道的状态和信息。

    字段

    说明

    Tunnel/Tunnel ID

    隧道ID。

    网关IP

    系统为隧道分配的网关IP地址,用于建立加密隧道。

    预共享密钥

    隧道使用的预共享密钥。

    预共享密钥默认加密,鼠标移动至查看字样上可显示预共享密钥。

    隧道网段

    如果隧道开启了BGP动态路由功能,则该字段显示为隧道使用的BGP隧道网段。

    本端BGP地址

    如果隧道开启了BGP动态路由功能,则该字段显示为阿里云侧使用的BGP IP地址。

    连接状态

    隧道的IPsec-VPN协商状态。

    • 如果IPsec-VPN协商成功,控制台会显示第二阶段协商成功

    • 如果IPsec-VPN未能协商成功,控制台会给出相应提示,您可以根据提示排查未协商成功的原因。相关解决方案,请参见自主排查IPsec-VPN连接问题

    用户网关

    隧道关联的用户网关实例。

    用户网关实例中包含了本地数据中心侧使用的IP地址和BGP AS号。

    状态

    隧道运行状态。

    • 正常

    • 更新中

    • 删除中

管理IPsec连接

修改隧道的配置

创建IPsec连接后,您可以修改隧道的配置。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

  5. IPsec连接实例详情页面的Tunnel页签,找到目标隧道,在操作列单击编辑

  6. 在编辑页面,修改隧道的配置,然后单击确定

    关于隧道下各个配置项的说明,请参见隧道配置

修改IPsec连接

  • 如果IPsec连接已绑定转发路由器实例,不支持修改IPsec连接关联的转发路由器实例和网关类型,支持修改IPsec连接的路由模式以及立即生效的值。

  • 如果IPsec连接当前未绑定转发路由器,不支持修改IPsec连接的网关类型,支持修改IPsec连接的路由模式以及立即生效的值。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,在操作列单击编辑

  5. 编辑IPsec连接页面,修改IPsec连接的名称、路由模式以及立即生效的值,然后单击确定

    关于参数的详细说明,请参见IPsec连接-基本配置

单独为隧道开启BGP功能

创建IPsec连接时如果您并没有为隧道开启BGP功能,您可以在创建IPsec连接后单独为隧道开启BGP功能。

在为IPsec连接开启BGP功能前,请确保IPsec连接关联的用户网关实例已经配置了BGP AS号,如果用户网关实例未配置BGP AS号,则该IPsec连接不支持开启BGP功能。

您可以新建用户网关实例并配置BGP AS号,然后修改隧道关联的用户网关实例,再为隧道开启BGP功能。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

  5. IPsec连接实例详情页面的IPsec连接基本信息区域,在启用BGP右侧单击按钮。

  6. BGP配置对话框,添加BGP配置,然后单击确定

    需为两条隧道同时添加BGP配置。关于BGP配置项的说明,请参见BGP配置

    如果您需要为IPsec连接关闭BGP功能,在启用BGP右侧单击按钮,在关闭BGP配置对话框单击确定即可。

IPsec连接向跨账号的转发路由器实例授权

创建IPsec连接时,如果绑定云企业网选项选择了跨账号绑定,那么创建完成后,您需要按照如下步骤,将IPsec连接授权给跨账号的转发路由器。

说明

在执行授权操作前,请确保IPsec连接未绑定转发路由器,如果IPsec连接已绑定转发路由器实例,则需先解除绑定关系。具体操作,请参见删除网络实例连接

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

  5. IPsec连接详情页面的云企业网跨账号授权页签,单击云企业网跨账号授权

  6. 加入云企业网对话框,根据以下信息进行配置,然后单击确定

    配置项

    说明

    对方账号UID

    转发路由器实例所属阿里云账号(主账号)ID。

    对方云企业网实例ID

    转发路由器实例所属的云企业网实例ID。

    资费承担方式

    选择付费方。

    • 云企业网用户承担资费(默认值):表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由转发路由器实例所属的账号承担。

    • VPN用户承担资费:表示转发路由器实例绑定IPsec连接后产生的转发路由器连接费、转发路由器流量处理费由IPsec连接所属的账号承担。

    重要

    • 请谨慎选择资费承担方。变更资费承担方,可能会影响您的业务。更多信息,请参见变更网络实例资费承担方

    • 转发路由器实例绑定IPsec连接后产生的IPsec连接实例费、IPsec连接流量费仍旧由IPsec连接所属的账号承担。

  7. 记录IPsec连接IDIPsec连接所属的阿里云账号(主账号)ID,以便后续将IPsec连接绑定至跨账号的转发路由器(即创建VPN连接)。具体操作,请参见创建VPN连接

    您可以在账号管理页面查看账号ID。账号查看

取消IPsec连接向跨账号转发路由器实例的授权

如果您不再需要IPsec连接被绑定至跨账号的转发路由器实例,您可以取消IPsec连接向跨账号的转发路由器实例的授权。取消授权前,请先解除跨账号转发路由器实例与IPsec连接的绑定关系。具体操作,请参见删除网络实例连接

删除IPsec连接

删除IPsec连接前,请确保IPsec连接已经和转发路由器实例解绑。具体操作,请参见删除网络实例连接

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  3. 在顶部菜单栏,选择IPsec连接的地域。

  4. IPsec连接页面,找到目标IPsec连接,在操作列单击删除

  5. 在弹出的对话框中,确认信息,然后单击确定

通过调用API创建和管理IPsec连接

支持通过阿里云 SDK(推荐)阿里云 CLITerraform资源编排等工具调用API创建和管理IPsec连接。相关API说明,请参见:

上一篇:绑定转发路由器下一篇:管理单隧道模式IPsec连接