创建和管理IPsec服务端

使用手机端(iOS系统)自带的VPN应用和阿里云建立IPsec-VPN连接前,您需要先创建IPsec服务端,IPsec服务端用于控制手机端(iOS系统)可以访问哪些网络和资源。

前提条件

创建IPsec服务端

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec服务端

  3. 在顶部菜单栏,选择IPsec服务端的地域。

    单击查看IPsec服务端支持的地域

    华东1(杭州)、华东2(上海)、华东5(南京-本地地域)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、华中1(武汉-本地地域)、西南1(成都)、中国香港、日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)关停中、马来西亚(吉隆坡)、印度尼西亚(雅加达)、菲律宾(马尼拉)、泰国(曼谷)、德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)、阿联酋(迪拜)、华北2阿里政务云1

  4. IPsec服务端页面,单击创建IPsec服务端

  5. 创建IPsec服务端页面,根据以下信息进行配置,然后单击确定

    配置项

    说明

    名称

    输入IPsec服务端的名称。

    资源组

    选择VPN网关实例所属的资源组。

    IPsec服务端所属的资源与VPN网关实例所属资源组保持一致。

    VPN网关

    输入IPsec服务端所关联的VPN网关实例。

    说明

    IPsec服务端创建完成后,不支持修改关联的VPN网关实例。

    本端网段

    输入客户端通过IPsec服务端要访问的地址段。

    本端网段可以是专有网络VPC(Virtual Private Cloud)的网段、交换机的网段、通过物理专线和VPC互连的本地数据中心的网段等。

    单击添加本端网段添加多个本端网段。

    客户端网段

    客户端网段是给客户端虚拟网卡分配IP地址的网段,不是指客户端已有的内网网段。当客户端通过IPsec服务端连接访问本端时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。

    重要
    • 请确保客户端网段与本端网段以及VPC中的网段不冲突。

    • 请确保您指定的客户端网段所包含的IP地址个数是VPN网关中SSL连接数的4倍及以上。

      例如:您指定的客户端网段为192.168.0.0/24,系统在为客户端分配IP地址时,会先从192.168.0.0/24网段中划分出一个子网掩码为30的子网段,例如192.168.0.4/30,然后从192.168.0.4/30中分配一个IP地址供客户端使用,剩余三个IP地址会被系统占用以保证网络通信,此时一个客户端会耗费4个IP地址。因此,请确保您指定的客户端网段所包含的IP地址个数是VPN网关中SSL连接数的4倍及以上。

    预共享密钥

    输入IPsec服务端的认证密钥,用于IPsec服务端与客户端之间的身份认证。密钥长度为1~100个字符。

    若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec服务端后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec服务端

    重要

    客户端的认证密钥需和IPsec服务端侧的预共享密钥一致,否则客户端和IPsec服务端之间无法建立连接。

    立即生效

    选择是否立即生效。

    • :配置完成后立即进行协商。

    • :当有流量进入时进行协商。

    高级配置IKE配置

    版本

    IKE协议的版本。

    • ikev1

    • ikev2

    目前系统支持IKE V1和IKE V2,相对于IKE V1版本,IKE V2版本简化了协商过程并且对于多网段的场景提供了更好的支持,建议您选择IKE V2版本。

    LocalId

    服务端的标识,默认值为VPN网关SSL地址(若VPN网关为单隧道模式,则该地址为VPN网关公网IP地址)。

    该参数是IPsec服务端的身份标识。支持FQDN格式和IP地址格式。IPsec服务端的LocalId需与对端IPsec客户端的RemoteId值保持一致。

    推荐采用IP地址格式。

    RemoteId

    该参数是客户端的身份标识。支持FQDN格式和IP地址格式。IPsec服务端的RemoteId需与对端IPsec客户端的LocalId值保持一致。建议采用IP地址格式。

修改IPsec服务端

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec服务端

  3. 在顶部菜单栏,选择IPsec服务端的地域。

  4. IPsec服务端页面,找到目标IPsec服务端实例,在操作列单击编辑

  5. 编辑IPsec服务端页面,更改IPsec服务端的配置,然后单击确定

    关于参数的说明,请参见创建IPsec服务端

删除IPsec服务端

删除IPsec服务端时,系统会自动断开当前IPsec服务端已连接的客户端。

  1. 登录VPN网关管理控制台

  2. 在左侧导航栏,选择网间互联 > VPN > IPsec服务端

  3. 在顶部菜单栏,选择IPsec服务端的地域。

  4. IPsec服务端页面,找到目标IPsec服务端实例,在操作列单击删除

  5. 删除Ipsec服务端配置对话框,确认删除信息,然后单击确定

通过调用API创建和管理IPsec服务端

支持通过阿里云 SDK(推荐)阿里云 CLITerraform资源编排等工具调用API创建、修改、删除IPsec服务端。相关API说明,请参见: