日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
有獎調研
輸入文檔關鍵字查找
首頁 VPN網關 IPsec-VPN 操作指南 綁定VPN網關 創建和管理IPsec連接(單隧道模式)

創建和管理IPsec連接(單隧道模式)

更新時間:
產品詳情
相關技術圈
我的收藏

在配置IPsec-VPN連接實現本地數據中心與VPC互通的過程中,您需要創建IPsec連接以建立加密通信通道。本文介紹如何創建和管理單隧道模式的IPsec連接。

背景信息

創建IPsec連接時,您可以選擇為IPsec連接開啟或關閉以下功能:

  • DPD:對等體存活檢測DPD(Dead Peer Detection)功能。

    開啟DPD功能后,IPsec連接會發送DPD報文用來檢測對端的設備是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec連接將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測超時后,IPsec連接會自動重新發起IPsec-VPN隧道協商。

    系統默認開啟該功能。

  • NAT穿越:NAT(Network Address Translation)穿越功能。

    開啟NAT穿越功能后,IKE協商過程會刪除對UDP端口號的驗證過程,同時能幫您發現加密通信通道中的NAT網關設備。

    系統默認開啟該功能。

  • BGP:BGP(Border Gateway Protocol)動態路由功能。

    開啟BGP功能后,IPsec連接將通過BGP動態路由協議自動學習和發布路由,可以幫您降低網絡維護成本和網絡配置風險。

    系統默認關閉該功能。

  • 健康檢查:IPsec連接的健康檢查功能。

    在使用同一個VPN網關實例搭建主備IPsec-VPN連接的場景中,您可以通過為IPsec連接配置健康檢查來自動探測主備鏈路的連通性。配置健康檢查功能后,系統將通過向目的IP地址發送ICMP(Internet Control Message Protocol )請求報文來探測IPsec-VPN連接的連通性,如果檢測到主鏈路不可用,則系統會自動將流量切換備鏈路進行傳輸,幫助您提高網絡的高可用性。

    說明

    IPsec連接健康檢查失敗后系統會重置IPsec隧道,在非主備IPsec-VPN連接的應用場景下,不推薦您為IPsec連接配置健康檢查,您可以為IPsec連接開啟DPD功能來探測對端的連通性。

    系統默認關閉該功能。

如果VPN網關實例是最新版本,則IPsec連接默認支持DPD功能、NAT穿越功能、BGP動態路由功能和健康檢查功能;如果VPN網關實例不是最新版,則您僅可使用當前版本支持的功能。

您可以在升級按鈕處查看VPN網關是否是最新版本,如果不是最新版本,您可以通過升級按鈕進行升級。具體操作,請參見升級VPN網關

前提條件

  • 在創建IPsec連接前,請您先了解IPsec-VPN連接的使用流程,并依據使用流程完成創建IPsec連接前的所有操作步驟。更多信息,請參見使用流程

  • 如果您的IPsec連接需要綁定VPN網關實例,且VPN網關實例類型為國密型,則在創建IPsec連接前,您還需要滿足以下條件:

    • 您的國密型VPN網關已經綁定了SSL證書。具體操作,請參見管理SSL證書

    • 您已獲取國密型VPN網關對端的CA(Certification Authority)證書和對端簽名證書的主題信息。

創建IPsec連接

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。

    說明

    IPsec連接的地域需和待綁定的VPN網關實例所屬的地域相同。

  4. IPsec連接頁面,單擊創建IPsec連接

  5. 創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定

    基本配置

    配置

    說明

    名稱

    輸入IPsec連接的名稱。

    資源組

    選擇VPN網關實例所屬的資源組。

    如果您不選擇,系統直接展示所有資源組下的VPN網關實例。

    綁定資源

    選擇IPsec連接綁定的資源類型。請選擇VPN網關

    VPN網關

    選擇IPsec連接待綁定的VPN網關實例。

    路由模式

    選擇IPsec連接的路由模式。

    • 目的路由模式(默認值):基于目的IP地址路由和轉發流量。

    • 感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉發流量。

      選擇感興趣流模式后,您需要配置本端網段對端網段。IPsec連接配置完成后,系統自動在VPN網關實例的策略路由表中添加策略路由。

      系統在VPN網關實例的策略路由表中添加策略路由后,路由默認是未發布狀態。您可以依據網絡互通需求決定是否將路由發布至VPC的路由表中。具體操作,請參見發布策略路由

    說明

    如果IPsec連接綁定了VPN網關實例,且您選擇的VPN網關實例為舊版VPN網關實例,則您無需選擇路由模式。

    本端網段

    輸入需要和本地數據中心互通的VPC側的網段,用于第二階段協商。

    單擊文本框右側的添加圖標,可添加多個需要和本地數據中心互通的VPC側的網段。

    說明

    如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2

    對端網段

    輸入需要和VPC互通的本地數據中心側的網段,用于第二階段協商。

    單擊文本框右側的添加圖標,可添加多個需要和VPC側互通的本地數據中心側的網段。

    說明

    如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2

    立即生效

    選擇IPsec連接的配置是否立即生效。

    • (默認值):配置完成后系統立即進行IPsec協議協商。

    • :當有流量進入時系統才進行IPsec協議協商。

    用戶網關

    選擇IPsec連接待關聯的用戶網關。

    預共享密鑰

    輸入IPsec連接的認證密鑰,用于VPN網關實例與本地數據中心之間的身份認證。

    • 密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。

    • 若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改IPsec連接

    重要

    IPsec連接兩側配置的預共享密鑰需一致,否則系統無法正常建立IPsec連接。

    RemoteId

    輸入對端簽名證書的主題信息。格式例如:

    CN=z****,O=hangzhou,OU=hangzhou,C=CN
    重要

    主題信息僅支持輸入英文,因此請確保申請對端簽名證書時填寫的主題信息(例如公司名稱、部門、公司所在區域等信息)為英文。

    對端CA證書

    輸入對端CA證書。

    通過輸入對端CA證書,VPN網關實例可以在建立IPsec-VPN連接時校驗對端證書的合法性。

    如果您已經在本地保存了對端CA證書,您可以單擊上傳證書,將已經保存的對端CA證書上傳至阿里云。

    啟用BGP

    如果IPsec連接需要使用BGP路由協議,需要打開BGP功能的開關,系統默認關閉BGP功能。

    使用BGP動態路由功能前,建議您先了解BGP動態路由功能工作機制和使用限制。更多信息,請參見配置BGP動態路由

    本端自治系統號

    輸入IPsec連接阿里云側的自治系統號。默認值:45104。自治系統號取值范圍:1~4294967295

    支持按照兩段位的格式進行輸入,即:前16位比特.后16位比特。每個段位使用十進制輸入。

    例如輸入123.456,則表示自治系統號:123*65536+456=8061384。

    說明

    建議您使用自治系統號的私有號碼與阿里云建立BGP連接。自治系統號的私有號碼范圍請自行查閱文檔。

    加密配置

    配置

    說明

    加密配置:IKE配置

    版本

    選擇IKE協議的版本。

    • ikev1

      如果VPN網關類型為國密型,則IKE版本僅支持ikev1

    • ikev2(默認值)

      相對于IKEv1版本,IKEv2版本簡化了SA的協商過程并且對于多網段的場景提供了更好的支持,推薦選擇IKEv2版本。

    協商模式

    選擇協商模式。

    • main(默認值):主模式,協商過程安全性高。

      如果VPN網關類型為國密型,則協商模式僅支持main

    • aggressive:野蠻模式,協商快速且協商成功率高。

    協商成功后兩種模式的信息傳輸安全性相同。

    加密算法

    選擇第一階段協商使用的加密算法。

    • 普通型VPN網關支持aes(默認值)、aes192aes256des3des

    • 國密型VPN網關支持sm4(默認值)。

    說明

    如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aesaes192aes256加密算法,不推薦使用3des加密算法。

    • aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。

    • 3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。

    認證算法

    選擇第一階段協商使用的認證算法。

    • 普通型VPN網關支持sha1(默認值)、md5sha256sha384sha512

    • 國密型VPN網關支持sm3(默認值)。

    說明

    在部分本地網關設備上添加VPN配置時,可能需要指定PRF算法,PRF算法與IKE階段認證算法保持一致即可。

    DH分組

    選擇第一階段協商的Diffie-Hellman密鑰交換算法。

    • group1:表示DH分組中的DH1。

    • group2(默認值):表示DH分組中的DH2。

    • group5:表示DH分組中的DH5。

    • group14:表示DH分組中的DH14。

    SA生存周期(秒)

    設置第一階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400

    LocalId

    輸入IPsec連接阿里云側的標識。默認值為VPN網關實例的IP地址。

    該參數僅作為標識符用于在IPsec-VPN連接協商中標識阿里云,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式。不能包含空格。推薦使用私網IP地址作為IPsec連接阿里云側的標識。

    如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地數據中心側IPsec連接的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    RemoteId

    輸入IPsec連接本地數據中心側的標識。默認值為用戶網關的IP地址。

    該參數僅作為標識符用于在IPsec-VPN連接協商中標識本地數據中心,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為IPsec連接本地數據中心側的標識。

    如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地數據中心側IPsec連接的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    加密配置:IPsec配置

    加密算法

    選擇第二階段協商的加密算法。

    • 普通型VPN網關支持aes(默認值)、aes192aes256des3des

    • 國密型VPN網關支持sm4(默認值)。

    說明

    如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aesaes192aes256加密算法,不推薦使用3des加密算法。

    • aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。

    • 3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。

    認證算法

    選擇第二階段協商的認證算法。

    • 普通型VPN網關支持sha1(默認值)、md5sha256sha384sha512

    • 國密型VPN網關支持sm3(默認值)。

    DH分組

    選擇第二階段協商的Diffie-Hellman密鑰交換算法。

    • disabled:表示不使用DH密鑰交換算法。

      • 對于不支持PFS的客戶端請選擇disabled

      • 如果選擇為非disabled的任何一個組,會默認開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的客戶端也要開啟PFS功能。

    • group1:表示DH分組中的DH1。

    • group2(默認值):表示DH分組中的DH2。

    • group5:表示DH分組中的DH5。

    • group14:表示DH分組中的DH14。

    SA生存周期(秒)

    設置第二階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400

    DPD

    選擇開啟或關閉對等體存活檢測功能。DPD功能默認開啟。

    • 對于在2019年04月至2023年01月期間創建的VPN網關實例:

      • 如果創建IPsec連接時使用IKEv1版本,DPD報文的超時時間為30秒。

      • 如果創建IPsec連接時使用IKEv2版本,DPD報文的超時時間為3600秒。

    • 對于在2023年02月之后創建的VPN網關實例:

      • 如果創建IPsec連接時使用IKEv1版本,DPD報文的超時時間為30秒。

      • 如果創建IPsec連接時使用IKEv2版本,DPD報文的超時時間為130秒。

    NAT穿越

    選擇開啟或關閉NAT穿越功能。NAT穿越功能默認開啟。

    BGP配置

    如果您為IPsec連接開啟了BGP功能,您需要指定BGP隧道網段以及阿里云側BGP隧道IP地址。

    配置項

    說明

    隧道網段

    輸入IPsec隧道的網段。

    該網段需要是在169.254.0.0/16內的子網掩碼為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

    本端BGP地址

    輸入IPsec連接阿里云側的BGP IP地址。

    該地址為隧道網段內的一個IP地址。

    健康檢查

    系統默認關閉健康檢查功能,在添加健康檢查配置前,請先打開健康檢查功能。

    重要

    為IPsec連接配置健康檢查功能后,請在本地數據中心側添加一條目標網段為源IP,子網掩碼為32位,下一跳指向IPsec連接的路由條目,以確保IPsec連接健康檢查功能正常工作。

    配置項

    說明

    目標IP

    輸入VPC側通過IPsec連接可以訪問的本地數據中心的IP地址。

    說明

    請確保目的IP地址支持ICMP應答。

    源IP

    輸入本地數據中心通過IPsec連接可以訪問的VPC側的IP地址。

    重試間隔

    選擇健康檢查的重試間隔時間。單位:秒。默認值:3

    重試次數

    選擇健康檢查的重試次數。默認值:3

    標簽

    創建IPsec連接時支持為IPsec連接添加標簽,您可以通過標簽對IPsec連接進行標記和分類,便于資源的搜索和聚合。更多信息,請參見標簽

    配置項

    說明

    標簽鍵

    為IPsec連接添加標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。

    標簽值

    為IPsec連接添加標簽值,支持選擇已有標簽值或輸入新的標簽值。標簽值可以為空。

  6. 在彈出的對話框中,單擊確定

后續步驟

IPsec連接創建完成后,您需要下載IPsec連接對端配置并添加在本地網關設備中。具體操作,請參見下載IPsec連接配置配置本地網關設備

下載IPsec連接配置

創建IPsec連接后,您可以下載IPsec連接的配置,用于后續配置本地網關設備。

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。

  4. IPsec連接頁面,找到目標IPsec連接,在操作列單擊生成對端配置

  5. IPsec連接配置對話框復制配置并保存到您本地,以便用于配置本地網關設備。

    如何配置本地網關設備,請參見配置本地網關設備

修改IPsec連接

不支持修改IPsec連接關聯的VPN網關和用戶網關,您可以修改IPsec連接的路由模式、預共享密鑰、加密配置等信息。

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。

  4. IPsec連接頁面,找到目標IPsec連接,在操作列單擊編輯

  5. 編輯IPsec連接頁面,修改IPsec連接的名稱、加密配置、互通網段等配置,然后單擊確定

    關于參數的詳細說明,請參見創建IPsec連接

刪除IPsec連接

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。

  4. IPsec連接頁面,找到目標IPsec連接,在操作列單擊刪除

  5. 在彈出的對話框中,確認信息,然后單擊確定

通過調用API創建和管理IPsec連接

支持通過阿里云 SDK(推薦)阿里云 CLITerraform資源編排等工具調用API創建和管理IPsec連接。相關API說明,請參見: