創(chuàng)建和管理IPsec連接(雙隧道模式)
在配置IPsec-VPN連接實(shí)現(xiàn)本地?cái)?shù)據(jù)中心與VPC互通的過程中,您需要?jiǎng)?chuàng)建IPsec連接以建立加密通信通道。本文介紹如何創(chuàng)建和管理雙隧道模式的IPsec連接。
前提條件
創(chuàng)建IPsec連接
- 登錄VPN網(wǎng)關(guān)管理控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄,選擇IPsec連接的地域。
說明IPsec連接的地域需和待綁定的VPN網(wǎng)關(guān)實(shí)例所屬的地域相同。
在IPsec連接頁面,單擊創(chuàng)建IPsec連接。
在創(chuàng)建IPsec連接頁面,根據(jù)以下信息配置IPsec連接,然后單擊確定。
基本配置
配置
說明
名稱
輸入IPsec連接的名稱。
資源組
選擇VPN網(wǎng)關(guān)實(shí)例所屬的資源組。
如果您不選擇,系統(tǒng)直接展示所有資源組下的VPN網(wǎng)關(guān)實(shí)例。
綁定資源
選擇IPsec連接綁定的資源類型。
選擇VPN網(wǎng)關(guān)。
VPN網(wǎng)關(guān)
選擇IPsec連接待綁定的VPN網(wǎng)關(guān)實(shí)例。
路由模式
選擇IPsec連接的路由模式。
目的路由模式(默認(rèn)值):基于目的IP地址路由和轉(zhuǎn)發(fā)流量。
感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉(zhuǎn)發(fā)流量。
選擇感興趣流模式后,您需要配置本端網(wǎng)段和對端網(wǎng)段。
IPsec連接配置完成后,系統(tǒng)會(huì)自動(dòng)在VPN網(wǎng)關(guān)實(shí)例的策略路由表中添加源網(wǎng)段為IPsec連接本端網(wǎng)段,目標(biāo)網(wǎng)段為IPsec連接對端網(wǎng)段,下一跳指向IPsec連接的策略路由,策略路由默認(rèn)是未發(fā)布狀態(tài)。您可以依據(jù)網(wǎng)絡(luò)互通需求決定是否將該策略路由發(fā)布至VPC的路由表中。具體操作,請參見發(fā)布策略路由。
本端網(wǎng)段
輸入需要和本地?cái)?shù)據(jù)中心互通的VPC側(cè)的網(wǎng)段,用于第二階段協(xié)商。
單擊文本框右側(cè)的
圖標(biāo),可添加多個(gè)需要和本地?cái)?shù)據(jù)中心互通的VPC側(cè)的網(wǎng)段。說明如果您配置了多個(gè)網(wǎng)段,則后續(xù)IKE協(xié)議的版本需要選擇為ikev2。
對端網(wǎng)段
輸入需要和VPC互通的本地?cái)?shù)據(jù)中心側(cè)的網(wǎng)段,用于第二階段協(xié)商。
單擊文本框右側(cè)的
圖標(biāo),可添加多個(gè)需要和VPC側(cè)互通的本地?cái)?shù)據(jù)中心側(cè)的網(wǎng)段。說明如果您配置了多個(gè)網(wǎng)段,則后續(xù)IKE協(xié)議的版本需要選擇為ikev2。
立即生效
選擇IPsec連接的配置是否立即生效。
是(默認(rèn)值):配置完成后系統(tǒng)立即進(jìn)行IPsec協(xié)議協(xié)商。
否:當(dāng)有流量進(jìn)入時(shí)系統(tǒng)才進(jìn)行IPsec協(xié)議協(xié)商。
啟用BGP
選擇是否為隧道開啟BGP(Border Gateway Protocol)動(dòng)態(tài)路由功能。系統(tǒng)默認(rèn)關(guān)閉BGP功能。
開啟BGP功能后,IPsec連接下的兩條隧道可以通過BGP動(dòng)態(tài)路由協(xié)議自動(dòng)分發(fā)和學(xué)習(xí)本地?cái)?shù)據(jù)中心和VPC側(cè)的路由,幫您降低網(wǎng)絡(luò)維護(hù)成本和網(wǎng)絡(luò)配置風(fēng)險(xiǎn)。
使用BGP動(dòng)態(tài)路由功能前,建議您先了解BGP動(dòng)態(tài)路由功能工作機(jī)制和使用限制。更多信息,請參見配置BGP動(dòng)態(tài)路由。
本端自治系統(tǒng)號(hào)
輸入隧道本端的自治系統(tǒng)號(hào)。默認(rèn)值:45104。自治系統(tǒng)號(hào)取值范圍:1~4294967295。
說明建議您使用自治系統(tǒng)號(hào)的私有號(hào)碼與阿里云建立BGP連接。自治系統(tǒng)號(hào)的私有號(hào)碼范圍請自行查閱文檔。
隧道配置
請根據(jù)以下信息為IPsec連接添加隧道配置,系統(tǒng)默認(rèn)隧道1為主隧道,使用VPN網(wǎng)關(guān)實(shí)例IPsec地址1建立IPsec-VPN連接;隧道2為備隧道,使用VPN網(wǎng)關(guān)實(shí)例IPsec地址2建立IPsec-VPN連接,不支持變更隧道角色。
重要創(chuàng)建雙隧道模式的IPsec-VPN連接時(shí),請配置兩條隧道使其均為可用狀態(tài),如果您僅配置或僅使用了其中一條隧道,則無法體驗(yàn)IPsec-VPN連接主備鏈路冗余能力以及可用區(qū)級(jí)別的容災(zāi)能力。
配置項(xiàng)
說明
用戶網(wǎng)關(guān)
選擇隧道關(guān)聯(lián)的用戶網(wǎng)關(guān)實(shí)例。
兩條隧道支持關(guān)聯(lián)相同的用戶網(wǎng)關(guān)實(shí)例。
RemoteId
輸入對端簽名證書的主題信息。格式例如:
CN=z****,O=hangzhou,OU=hangzhou,C=CN重要主題信息僅支持輸入英文,因此請確保申請對端簽名證書時(shí)填寫的主題信息(例如公司名稱、部門、公司所在區(qū)域等信息)為英文。
對端CA證書
輸入對端CA證書。
通過輸入對端CA證書,VPN網(wǎng)關(guān)實(shí)例可以在建立IPsec-VPN連接時(shí)校驗(yàn)對端證書的合法性。
如果您已經(jīng)在本地保存了對端CA證書,您可以單擊上傳證書,將已經(jīng)保存的對端CA證書上傳至阿里云。
預(yù)共享密鑰
輸入隧道的認(rèn)證密鑰,用于隧道與隧道對端之間的身份認(rèn)證。
密鑰長度為1~100個(gè)字符,支持?jǐn)?shù)字、大小寫英文字母及右側(cè)字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預(yù)共享密鑰,系統(tǒng)會(huì)隨機(jī)生成一個(gè)16位的字符串作為預(yù)共享密鑰。創(chuàng)建IPsec連接后,您可以通過隧道的編輯按鈕查看系統(tǒng)生成的預(yù)共享密鑰。具體操作,請參見修改隧道的配置。
重要隧道及隧道對端的預(yù)共享密鑰需一致,否則系統(tǒng)無法正常建立隧道。
加密配置:IKE配置
配置項(xiàng)
說明
版本
選擇IKE協(xié)議的版本。
ikev1
如果VPN網(wǎng)關(guān)類型為國密型,則IKE版本僅支持ikev1。
ikev2(默認(rèn)值)
相對于IKEv1版本,IKEv2版本簡化了SA的協(xié)商過程并且對于多網(wǎng)段的場景提供了更好的支持,推薦選擇IKEv2版本。
協(xié)商模式
選擇協(xié)商模式。
main(默認(rèn)值):主模式,協(xié)商過程安全性高。
如果VPN網(wǎng)關(guān)類型為國密型,則協(xié)商模式僅支持main。
aggressive:野蠻模式,協(xié)商快速且協(xié)商成功率高。
協(xié)商成功后兩種模式的信息傳輸安全性相同。
加密算法
選擇第一階段協(xié)商使用的加密算法。
如果IPsec連接綁定的為普通型VPN網(wǎng)關(guān),則加密算法支持aes(aes128,默認(rèn)值)、aes192、aes256、des和3des。
如果IPsec連接綁定的為國密型VPN網(wǎng)關(guān),則加密算法支持sm4(默認(rèn)值)。
說明如果VPN網(wǎng)關(guān)實(shí)例的帶寬規(guī)格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。
aes是一種對稱密鑰加密算法,提供高強(qiáng)度的加密和解密,在保證數(shù)據(jù)安全傳輸?shù)耐瑫r(shí)對網(wǎng)絡(luò)延遲、吞吐量、轉(zhuǎn)發(fā)性能影響較小。
3des是三重?cái)?shù)據(jù)加密算法,加密時(shí)間較長且算法復(fù)雜度較高,運(yùn)算量較大,相比aes會(huì)降低轉(zhuǎn)發(fā)性能。
認(rèn)證算法
選擇第一階段協(xié)商使用的認(rèn)證算法。
如果IPsec連接綁定的為普通型VPN網(wǎng)關(guān),則認(rèn)證算法支持sha1(默認(rèn)值)、md5、sha256、sha384和sha512。
如果IPsec連接綁定的為國密型VPN網(wǎng)關(guān),則認(rèn)證算法支持sm3(默認(rèn)值)。
說明在部分本地網(wǎng)關(guān)設(shè)備上添加VPN配置時(shí),可能需要指定PRF算法,PRF算法與IKE階段認(rèn)證算法保持一致即可。
DH分組
選擇第一階段協(xié)商的Diffie-Hellman密鑰交換算法。
group1:表示DH分組中的DH1。
group2(默認(rèn)值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設(shè)置第一階段協(xié)商出的SA的生存周期。單位:秒。默認(rèn)值:86400。取值范圍:0~86400。
LocalId
輸入隧道本端的標(biāo)識(shí)符。默認(rèn)使用隧道的IP地址作為隧道本端標(biāo)識(shí)符。
該參數(shù)僅作為標(biāo)識(shí)符用于在IPsec-VPN連接協(xié)商中標(biāo)識(shí)阿里云,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網(wǎng)IP地址作為隧道本端的標(biāo)識(shí)。
如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網(wǎng)關(guān)設(shè)備上IPsec連接的對端ID需與LocalId的值保持一致,協(xié)商模式建議選擇為aggressive(野蠻模式)。
RemoteId
輸入隧道對端的標(biāo)識(shí)符。默認(rèn)值使用隧道關(guān)聯(lián)的用戶網(wǎng)關(guān)中的IP地址作為隧道對端標(biāo)識(shí)符。
該參數(shù)僅作為標(biāo)識(shí)符用于在IPsec-VPN連接協(xié)商中標(biāo)識(shí)本地網(wǎng)關(guān)設(shè)備,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網(wǎng)IP地址作為隧道對端的標(biāo)識(shí)。
如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網(wǎng)關(guān)設(shè)備上IPsec連接的本端ID需與RemoteId的值保持一致,協(xié)商模式建議選擇為aggressive(野蠻模式)。
加密配置:IPsec配置
配置項(xiàng)
說明
加密算法
選擇第二階段協(xié)商的加密算法。
如果IPsec連接綁定的為普通型VPN網(wǎng)關(guān),則加密算法支持aes(aes128,默認(rèn)值)、aes192、aes256、des和3des。
如果IPsec連接綁定的為國密型VPN網(wǎng)關(guān),則加密算法支持sm4(默認(rèn)值)。
說明如果VPN網(wǎng)關(guān)實(shí)例的帶寬規(guī)格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。
aes是一種對稱密鑰加密算法,提供高強(qiáng)度的加密和解密,在保證數(shù)據(jù)安全傳輸?shù)耐瑫r(shí)對網(wǎng)絡(luò)延遲、吞吐量、轉(zhuǎn)發(fā)性能影響較小。
3des是三重?cái)?shù)據(jù)加密算法,加密時(shí)間較長且算法復(fù)雜度較高,運(yùn)算量較大,相比aes會(huì)降低轉(zhuǎn)發(fā)性能。
認(rèn)證算法
選擇第二階段協(xié)商的認(rèn)證算法。
如果IPsec連接綁定的為普通型VPN網(wǎng)關(guān),則認(rèn)證算法支持sha1(默認(rèn)值)、md5、sha256、sha384和sha512。
如果IPsec連接綁定的為國密型VPN網(wǎng)關(guān),則認(rèn)證算法支持sm3(默認(rèn)值)。
DH分組
選擇第二階段協(xié)商的Diffie-Hellman密鑰交換算法。
disabled:表示不使用DH密鑰交換算法。
對于不支持PFS的客戶端請選擇disabled。
如果選擇為非disabled的任何一個(gè)組,會(huì)默認(rèn)開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協(xié)商都要更新密鑰,因此,相應(yīng)的客戶端也要開啟PFS功能。
group1:表示DH分組中的DH1。
group2(默認(rèn)值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設(shè)置第二階段協(xié)商出的SA的生存周期。單位:秒。默認(rèn)值:86400。取值范圍:0~86400。
DPD
選擇開啟或關(guān)閉對等體存活檢測DPD(Dead Peer Detection)功能。DPD功能默認(rèn)開啟。
開啟DPD功能后,IPsec連接會(huì)發(fā)送DPD報(bào)文用來檢測對端的設(shè)備是否存活,如果在設(shè)定時(shí)間內(nèi)未收到正確回應(yīng)則認(rèn)為對端已經(jīng)斷線,IPsec連接將刪除ISAKMP SA和相應(yīng)的IPsec SA,安全隧道同樣也會(huì)被刪除。DPD檢測超時(shí)后,IPsec連接會(huì)自動(dòng)重新發(fā)起IPsec-VPN隧道協(xié)商。
對于在2019年04月至2023年01月期間創(chuàng)建的VPN網(wǎng)關(guān)實(shí)例:
如果創(chuàng)建IPsec連接時(shí)使用IKEv1版本,DPD報(bào)文的超時(shí)時(shí)間為30秒。
如果創(chuàng)建IPsec連接時(shí)使用IKEv2版本,DPD報(bào)文的超時(shí)時(shí)間為3600秒。
對于在2023年02月之后創(chuàng)建的VPN網(wǎng)關(guān)實(shí)例:
如果創(chuàng)建IPsec連接時(shí)使用IKEv1版本,DPD報(bào)文的超時(shí)時(shí)間為30秒。
如果創(chuàng)建IPsec連接時(shí)使用IKEv2版本,DPD報(bào)文的超時(shí)時(shí)間為130秒。
NAT穿越
選擇開啟或關(guān)閉NAT(Network Address Translation)穿越功能。NAT穿越功能默認(rèn)開啟。
開啟NAT穿越功能后,IKE協(xié)商過程會(huì)刪除對UDP端口號(hào)的驗(yàn)證過程,同時(shí)能幫您發(fā)現(xiàn)加密通信通道中的NAT網(wǎng)關(guān)設(shè)備。
BGP配置
如果您已經(jīng)打開了IPsec連接的BGP功能,您可以根據(jù)以下信息為隧道添加BGP配置。如果您未打開IPsec連接的BGP功能,您可以在創(chuàng)建IPsec連接后單獨(dú)為隧道開啟BGP功能并添加相應(yīng)配置。具體操作,請參見單獨(dú)為隧道開啟BGP功能。
配置項(xiàng)
說明
隧道網(wǎng)段
輸入隧道的網(wǎng)段。
隧道網(wǎng)段需要是在169.254.0.0/16內(nèi)的子網(wǎng)掩碼為30的網(wǎng)段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
說明一個(gè)VPN網(wǎng)關(guān)實(shí)例下,每個(gè)隧道的網(wǎng)段需保持唯一。
本端BGP地址
輸入隧道本端的BGP IP地址。
該地址為隧道網(wǎng)段內(nèi)的一個(gè)IP地址。
標(biāo)簽
創(chuàng)建IPsec連接時(shí)支持為IPsec連接添加標(biāo)簽,您可以通過標(biāo)簽對IPsec連接進(jìn)行標(biāo)記和分類,便于資源的搜索和聚合。更多信息,請參見標(biāo)簽。
配置項(xiàng)
說明
標(biāo)簽鍵
為IPsec連接添加標(biāo)簽鍵,支持選擇已有標(biāo)簽鍵或輸入新的標(biāo)簽鍵。
標(biāo)簽值
為IPsec連接添加標(biāo)簽值,支持選擇已有標(biāo)簽值或輸入新的標(biāo)簽值。標(biāo)簽值可以為空。
在彈出的對話框中,單擊確定。
后續(xù)步驟
IPsec連接創(chuàng)建完成后,您需要下載IPsec連接對端配置并添加在本地網(wǎng)關(guān)設(shè)備中。具體操作,請參見下載IPsec連接配置和配置本地網(wǎng)關(guān)設(shè)備。
下載IPsec連接對端配置
創(chuàng)建IPsec連接后,您可以下載IPsec連接對端的配置,用于后續(xù)配置本地網(wǎng)關(guān)設(shè)備。
在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標(biāo)IPsec連接,在操作列單擊生成對端配置。
在IPsec連接配置對話框復(fù)制配置并保存到您本地,以便用于配置本地網(wǎng)關(guān)設(shè)備。
如何配置本地網(wǎng)關(guān)設(shè)備,請參見配置本地網(wǎng)關(guān)設(shè)備。
查看IPsec連接隧道信息
創(chuàng)建IPsec連接后,您可以在IPsec連接詳情頁面下查看兩條隧道的狀態(tài)和信息。
在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標(biāo)IPsec連接,單擊IPsec連接ID。
在IPsec連接詳情頁面,查看IPsec連接下兩條隧道的狀態(tài)和信息。
字段
說明
Tunnel/Tunnel ID
隧道ID。
隧道主/備角色
隧道角色。
主:表示當(dāng)前隧道為主隧道。
備:表示當(dāng)前隧道為備隧道。
網(wǎng)關(guān)IP
建立IPsec-VPN連接時(shí)阿里云側(cè)使用的IP地址。
主隧道默認(rèn)使用VPN網(wǎng)關(guān)實(shí)例的IPsec地址1。
備隧道默認(rèn)使用VPN網(wǎng)關(guān)實(shí)例的IPsec地址2。
隧道網(wǎng)段
如果隧道開啟了BGP動(dòng)態(tài)路由功能,則該字段顯示為隧道使用的BGP隧道網(wǎng)段。
本端BGP地址
如果隧道開啟了BGP動(dòng)態(tài)路由功能,則該字段顯示為阿里云側(cè)使用的BGP IP地址。
連接狀態(tài)
隧道的IPsec-VPN協(xié)商狀態(tài)。
如果IPsec-VPN協(xié)商成功,控制臺(tái)會(huì)顯示第二階段協(xié)商成功。
如果IPsec-VPN未能協(xié)商成功,控制臺(tái)會(huì)給出相應(yīng)提示,您可以根據(jù)提示排查未協(xié)商成功的原因。相關(guān)解決方案,請參見自主排查IPsec-VPN連接問題。
用戶網(wǎng)關(guān)
隧道關(guān)聯(lián)的用戶網(wǎng)關(guān)實(shí)例。
用戶網(wǎng)關(guān)實(shí)例中包含了本地?cái)?shù)據(jù)中心側(cè)使用的IP地址和BGP AS號(hào)。
狀態(tài)
隧道運(yùn)行狀態(tài)。
正常
更新中
刪除中
單獨(dú)為隧道開啟BGP功能
創(chuàng)建IPsec連接時(shí)如果您并沒有為隧道開啟BGP功能,您可以在創(chuàng)建IPsec連接后單獨(dú)為隧道開啟BGP功能。
在為IPsec連接開啟BGP功能前,請確保IPsec連接關(guān)聯(lián)的用戶網(wǎng)關(guān)實(shí)例已經(jīng)配置了BGP AS號(hào),如果用戶網(wǎng)關(guān)實(shí)例未配置BGP AS號(hào),則該IPsec連接不支持開啟BGP功能。
您可以刪除當(dāng)前IPsec連接,重新創(chuàng)建,并為IPsec連接關(guān)聯(lián)已配置有BGP AS號(hào)的用戶網(wǎng)關(guān)實(shí)例。
在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標(biāo)IPsec連接,單擊IPsec連接ID。
在IPsec連接實(shí)例詳情頁面的IPsec連接基本信息區(qū)域,在啟用BGP右側(cè)單擊按鈕。
在BGP配置對話框,添加BGP配置,然后單擊確定。
需為兩條隧道同時(shí)添加BGP配置。關(guān)于BGP配置項(xiàng)的說明,請參見BGP配置。
如果您需要為IPsec連接關(guān)閉BGP功能,在啟用BGP右側(cè)單擊按鈕,在關(guān)閉BGP配置對話框單擊確定即可。
修改隧道的配置
創(chuàng)建IPsec連接后,您可以修改隧道的配置。不支持修改隧道綁定的用戶網(wǎng)關(guān)實(shí)例。
在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標(biāo)IPsec連接,單擊IPsec連接ID。
在IPsec連接實(shí)例詳情頁面,找到目標(biāo)隧道,在操作列單擊編輯。
在編輯頁面,修改隧道的配置,然后單擊確定。
關(guān)于隧道下各個(gè)配置項(xiàng)的說明,請參見隧道配置。
修改IPsec連接的配置
在IPsec連接已綁定了VPN網(wǎng)關(guān)實(shí)例的場景下,不支持修改IPsec連接關(guān)聯(lián)的VPN網(wǎng)關(guān)實(shí)例,僅支持修改IPsec連接路由模式和立即生效的配置。
在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標(biāo)IPsec連接,在操作列單擊編輯。
在編輯IPsec連接頁面,修改IPsec連接的名稱、互通網(wǎng)段等配置,然后單擊確定。
關(guān)于參數(shù)的詳細(xì)說明,請參見創(chuàng)建IPsec連接。
刪除IPsec連接
在左側(cè)導(dǎo)航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標(biāo)IPsec連接,在操作列單擊刪除。
在彈出的對話框中,確認(rèn)信息,然后單擊確定。
通過調(diào)用API創(chuàng)建和管理IPsec連接
支持通過阿里云 SDK(推薦)、阿里云 CLI、Terraform、資源編排等工具調(diào)用API創(chuàng)建和管理IPsec連接。相關(guān)API說明,請參見: