在配置IPsec-VPN連接實現本地數據中心與VPC互通的過程中,您需要創建IPsec連接以建立加密通信通道。本文介紹如何創建和管理單隧道模式的IPsec連接。
背景信息
創建IPsec連接時,您可以選擇為IPsec連接開啟或關閉以下功能:
DPD:對等體存活檢測DPD(Dead Peer Detection)功能。
開啟DPD功能后,IPsec連接會發送DPD報文用來檢測對端的設備是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec連接將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測超時后,IPsec連接會自動重新發起IPsec-VPN隧道協商。
系統默認開啟該功能。
NAT穿越:NAT(Network Address Translation)穿越功能。
開啟NAT穿越功能后,IKE協商過程會刪除對UDP端口號的驗證過程,同時能幫您發現加密通信通道中的NAT網關設備。
系統默認開啟該功能。
BGP:BGP(Border Gateway Protocol)動態路由功能。
開啟BGP功能后,IPsec連接將通過BGP動態路由協議自動學習和發布路由,可以幫您降低網絡維護成本和網絡配置風險。
系統默認關閉該功能。
健康檢查:IPsec連接的健康檢查功能。
在使用同一個VPN網關實例搭建主備IPsec-VPN連接的場景中,您可以通過為IPsec連接配置健康檢查來自動探測主備鏈路的連通性。配置健康檢查功能后,系統將通過向目的IP地址發送ICMP(Internet Control Message Protocol )請求報文來探測IPsec-VPN連接的連通性,如果檢測到主鏈路不可用,則系統會自動將流量切換備鏈路進行傳輸,幫助您提高網絡的高可用性。
說明IPsec連接健康檢查失敗后系統會重置IPsec隧道,在非主備IPsec-VPN連接的應用場景下,不推薦您為IPsec連接配置健康檢查,您可以為IPsec連接開啟DPD功能來探測對端的連通性。
系統默認關閉該功能。
如果VPN網關實例是最新版本,則IPsec連接默認支持DPD功能、NAT穿越功能、BGP動態路由功能和健康檢查功能;如果VPN網關實例不是最新版,則您僅可使用當前版本支持的功能。
您可以在升級按鈕處查看VPN網關是否是最新版本,如果不是最新版本,您可以通過升級按鈕進行升級。具體操作,請參見升級VPN網關。
前提條件
創建IPsec連接
- 登錄VPN網關管理控制臺。
在左側導航欄,選擇 。
在頂部菜單欄,選擇IPsec連接的地域。
說明IPsec連接的地域需和待綁定的VPN網關實例所屬的地域相同。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
基本配置
配置
說明
名稱
輸入IPsec連接的名稱。
資源組
選擇VPN網關實例所屬的資源組。
如果您不選擇,系統直接展示所有資源組下的VPN網關實例。
綁定資源
選擇IPsec連接綁定的資源類型。請選擇VPN網關。
VPN網關
選擇IPsec連接待綁定的VPN網關實例。
路由模式
選擇IPsec連接的路由模式。
目的路由模式(默認值):基于目的IP地址路由和轉發流量。
感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉發流量。
選擇感興趣流模式后,您需要配置本端網段和對端網段。IPsec連接配置完成后,系統自動在VPN網關實例的策略路由表中添加策略路由。
系統在VPN網關實例的策略路由表中添加策略路由后,路由默認是未發布狀態。您可以依據網絡互通需求決定是否將路由發布至VPC的路由表中。具體操作,請參見發布策略路由。
說明如果IPsec連接綁定了VPN網關實例,且您選擇的VPN網關實例為舊版VPN網關實例,則您無需選擇路由模式。
本端網段
輸入需要和本地數據中心互通的VPC側的網段,用于第二階段協商。
單擊文本框右側的圖標,可添加多個需要和本地數據中心互通的VPC側的網段。
說明如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2。
對端網段
輸入需要和VPC互通的本地數據中心側的網段,用于第二階段協商。
單擊文本框右側的圖標,可添加多個需要和VPC側互通的本地數據中心側的網段。
說明如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2。
立即生效
選擇IPsec連接的配置是否立即生效。
是(默認值):配置完成后系統立即進行IPsec協議協商。
否:當有流量進入時系統才進行IPsec協議協商。
用戶網關
選擇IPsec連接待關聯的用戶網關。
預共享密鑰
輸入IPsec連接的認證密鑰,用于VPN網關實例與本地數據中心之間的身份認證。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?
,不能包含空格。。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改IPsec連接。
重要IPsec連接兩側配置的預共享密鑰需一致,否則系統無法正常建立IPsec連接。
RemoteId
輸入對端簽名證書的主題信息。格式例如:
CN=z****,O=hangzhou,OU=hangzhou,C=CN
重要主題信息僅支持輸入英文,因此請確保申請對端簽名證書時填寫的主題信息(例如公司名稱、部門、公司所在區域等信息)為英文。
對端CA證書
輸入對端CA證書。
通過輸入對端CA證書,VPN網關實例可以在建立IPsec-VPN連接時校驗對端證書的合法性。
如果您已經在本地保存了對端CA證書,您可以單擊上傳證書,將已經保存的對端CA證書上傳至阿里云。
啟用BGP
如果IPsec連接需要使用BGP路由協議,需要打開BGP功能的開關,系統默認關閉BGP功能。
使用BGP動態路由功能前,建議您先了解BGP動態路由功能工作機制和使用限制。更多信息,請參見配置BGP動態路由。
本端自治系統號
輸入IPsec連接阿里云側的自治系統號。默認值:45104。自治系統號取值范圍:1~4294967295。
支持按照兩段位的格式進行輸入,即:前16位比特.后16位比特。每個段位使用十進制輸入。
例如輸入123.456,則表示自治系統號:123*65536+456=8061384。
說明建議您使用自治系統號的私有號碼與阿里云建立BGP連接。自治系統號的私有號碼范圍請自行查閱文檔。
加密配置
配置
說明
加密配置:IKE配置
版本
選擇IKE協議的版本。
ikev1
如果VPN網關類型為國密型,則IKE版本僅支持ikev1。
ikev2(默認值)
相對于IKEv1版本,IKEv2版本簡化了SA的協商過程并且對于多網段的場景提供了更好的支持,推薦選擇IKEv2版本。
協商模式
選擇協商模式。
main(默認值):主模式,協商過程安全性高。
如果VPN網關類型為國密型,則協商模式僅支持main。
aggressive:野蠻模式,協商快速且協商成功率高。
協商成功后兩種模式的信息傳輸安全性相同。
加密算法
選擇第一階段協商使用的加密算法。
普通型VPN網關支持aes(默認值)、aes192、aes256、des和3des。
國密型VPN網關支持sm4(默認值)。
說明如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。
aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。
3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。
認證算法
選擇第一階段協商使用的認證算法。
普通型VPN網關支持sha1(默認值)、md5、sha256、sha384和sha512。
國密型VPN網關支持sm3(默認值)。
說明在部分本地網關設備上添加VPN配置時,可能需要指定PRF算法,PRF算法與IKE階段認證算法保持一致即可。
DH分組
選擇第一階段協商的Diffie-Hellman密鑰交換算法。
group1:表示DH分組中的DH1。
group2(默認值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設置第一階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400。
LocalId
輸入IPsec連接阿里云側的標識。默認值為VPN網關實例的IP地址。
該參數僅作為標識符用于在IPsec-VPN連接協商中標識阿里云,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式。不能包含空格。推薦使用私網IP地址作為IPsec連接阿里云側的標識。
如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地數據中心側IPsec連接的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
RemoteId
輸入IPsec連接本地數據中心側的標識。默認值為用戶網關的IP地址。
該參數僅作為標識符用于在IPsec-VPN連接協商中標識本地數據中心,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為IPsec連接本地數據中心側的標識。
如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地數據中心側IPsec連接的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
加密配置:IPsec配置
加密算法
選擇第二階段協商的加密算法。
普通型VPN網關支持aes(默認值)、aes192、aes256、des和3des。
國密型VPN網關支持sm4(默認值)。
說明如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。
aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。
3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。
認證算法
選擇第二階段協商的認證算法。
普通型VPN網關支持sha1(默認值)、md5、sha256、sha384和sha512。
國密型VPN網關支持sm3(默認值)。
DH分組
選擇第二階段協商的Diffie-Hellman密鑰交換算法。
disabled:表示不使用DH密鑰交換算法。
對于不支持PFS的客戶端請選擇disabled。
如果選擇為非disabled的任何一個組,會默認開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的客戶端也要開啟PFS功能。
group1:表示DH分組中的DH1。
group2(默認值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設置第二階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400。
DPD
選擇開啟或關閉對等體存活檢測功能。DPD功能默認開啟。
對于在2019年04月至2023年01月期間創建的VPN網關實例:
如果創建IPsec連接時使用IKEv1版本,DPD報文的超時時間為30秒。
如果創建IPsec連接時使用IKEv2版本,DPD報文的超時時間為3600秒。
對于在2023年02月之后創建的VPN網關實例:
如果創建IPsec連接時使用IKEv1版本,DPD報文的超時時間為30秒。
如果創建IPsec連接時使用IKEv2版本,DPD報文的超時時間為130秒。
NAT穿越
選擇開啟或關閉NAT穿越功能。NAT穿越功能默認開啟。
BGP配置
如果您為IPsec連接開啟了BGP功能,您需要指定BGP隧道網段以及阿里云側BGP隧道IP地址。
配置項
說明
隧道網段
輸入IPsec隧道的網段。
該網段需要是在169.254.0.0/16內的子網掩碼為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
本端BGP地址
輸入IPsec連接阿里云側的BGP IP地址。
該地址為隧道網段內的一個IP地址。
健康檢查
系統默認關閉健康檢查功能,在添加健康檢查配置前,請先打開健康檢查功能。
重要為IPsec連接配置健康檢查功能后,請在本地數據中心側添加一條目標網段為源IP,子網掩碼為32位,下一跳指向IPsec連接的路由條目,以確保IPsec連接健康檢查功能正常工作。
配置項
說明
目標IP
輸入VPC側通過IPsec連接可以訪問的本地數據中心的IP地址。
說明請確保目的IP地址支持ICMP應答。
源IP
輸入本地數據中心通過IPsec連接可以訪問的VPC側的IP地址。
重試間隔
選擇健康檢查的重試間隔時間。單位:秒。默認值:3。
重試次數
選擇健康檢查的重試次數。默認值:3。
標簽
創建IPsec連接時支持為IPsec連接添加標簽,您可以通過標簽對IPsec連接進行標記和分類,便于資源的搜索和聚合。更多信息,請參見標簽。
配置項
說明
標簽鍵
為IPsec連接添加標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。
標簽值
為IPsec連接添加標簽值,支持選擇已有標簽值或輸入新的標簽值。標簽值可以為空。
在彈出的對話框中,單擊確定。
后續步驟
IPsec連接創建完成后,您需要下載IPsec連接對端配置并添加在本地網關設備中。具體操作,請參見下載IPsec連接配置和配置本地網關設備。
下載IPsec連接配置
創建IPsec連接后,您可以下載IPsec連接的配置,用于后續配置本地網關設備。
登錄VPN網關管理控制臺。
在左側導航欄,選擇 。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,在操作列單擊生成對端配置。
在IPsec連接配置對話框復制配置并保存到您本地,以便用于配置本地網關設備。
如何配置本地網關設備,請參見配置本地網關設備。
修改IPsec連接
不支持修改IPsec連接關聯的VPN網關和用戶網關,您可以修改IPsec連接的路由模式、預共享密鑰、加密配置等信息。
登錄VPN網關管理控制臺。
在左側導航欄,選擇 。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,在操作列單擊編輯。
在編輯IPsec連接頁面,修改IPsec連接的名稱、加密配置、互通網段等配置,然后單擊確定。
關于參數的詳細說明,請參見創建IPsec連接。
刪除IPsec連接
登錄VPN網關管理控制臺。
在左側導航欄,選擇 。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,在操作列單擊刪除。
在彈出的對話框中,確認信息,然后單擊確定。
通過調用API創建和管理IPsec連接
支持通過阿里云 SDK(推薦)、阿里云 CLI、Terraform、資源編排等工具調用API創建和管理IPsec連接。相關API說明,請參見: