在配置IPsec-VPN連接實現本地數據中心與VPC互通的過程中,您需要創建IPsec連接以建立加密通信通道。本文介紹如何創建和管理雙隧道模式的IPsec連接。
前提條件
創建IPsec連接
- 登錄VPN網關管理控制臺。
在左側導航欄,選擇。
在頂部菜單欄,選擇IPsec連接的地域。
說明IPsec連接的地域需和待綁定的VPN網關實例所屬的地域相同。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
基本配置
配置
說明
名稱
輸入IPsec連接的名稱。
資源組
選擇VPN網關實例所屬的資源組。
如果您不選擇,系統直接展示所有資源組下的VPN網關實例。
綁定資源
選擇IPsec連接綁定的資源類型。
選擇VPN網關。
VPN網關
選擇IPsec連接待綁定的VPN網關實例。
路由模式
選擇IPsec連接的路由模式。
目的路由模式(默認值):基于目的IP地址路由和轉發流量。
感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉發流量。
選擇感興趣流模式后,您需要配置本端網段和對端網段。
IPsec連接配置完成后,系統會自動在VPN網關實例的策略路由表中添加源網段為IPsec連接本端網段,目標網段為IPsec連接對端網段,下一跳指向IPsec連接的策略路由,策略路由默認是未發布狀態。您可以依據網絡互通需求決定是否將該策略路由發布至VPC的路由表中。具體操作,請參見發布策略路由。
本端網段
輸入需要和本地數據中心互通的VPC側的網段,用于第二階段協商。
單擊文本框右側的
圖標,可添加多個需要和本地數據中心互通的VPC側的網段。說明如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2。
對端網段
輸入需要和VPC互通的本地數據中心側的網段,用于第二階段協商。
單擊文本框右側的
圖標,可添加多個需要和VPC側互通的本地數據中心側的網段。說明如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2。
立即生效
選擇IPsec連接的配置是否立即生效。
是(默認值):配置完成后系統立即進行IPsec協議協商。
否:當有流量進入時系統才進行IPsec協議協商。
啟用BGP
選擇是否為隧道開啟BGP(Border Gateway Protocol)動態路由功能。系統默認關閉BGP功能。
開啟BGP功能后,IPsec連接下的兩條隧道可以通過BGP動態路由協議自動分發和學習本地數據中心和VPC側的路由,幫您降低網絡維護成本和網絡配置風險。
使用BGP動態路由功能前,建議您先了解BGP動態路由功能工作機制和使用限制。更多信息,請參見配置BGP動態路由。
本端自治系統號
輸入隧道本端的自治系統號。默認值:45104。自治系統號取值范圍:1~4294967295。
說明建議您使用自治系統號的私有號碼與阿里云建立BGP連接。自治系統號的私有號碼范圍請自行查閱文檔。
隧道配置
請根據以下信息為IPsec連接添加隧道配置,系統默認隧道1為主隧道,使用VPN網關實例IPsec地址1建立IPsec-VPN連接;隧道2為備隧道,使用VPN網關實例IPsec地址2建立IPsec-VPN連接,不支持變更隧道角色。
重要創建雙隧道模式的IPsec-VPN連接時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN連接主備鏈路冗余能力以及可用區級別的容災能力。
配置項
說明
用戶網關
選擇隧道關聯的用戶網關實例。
兩條隧道支持關聯相同的用戶網關實例。
RemoteId
輸入對端簽名證書的主題信息。格式例如:
CN=z****,O=hangzhou,OU=hangzhou,C=CN重要主題信息僅支持輸入英文,因此請確保申請對端簽名證書時填寫的主題信息(例如公司名稱、部門、公司所在區域等信息)為英文。
對端CA證書
輸入對端CA證書。
通過輸入對端CA證書,VPN網關實例可以在建立IPsec-VPN連接時校驗對端證書的合法性。
如果您已經在本地保存了對端CA證書,您可以單擊上傳證書,將已經保存的對端CA證書上傳至阿里云。
預共享密鑰
輸入隧道的認證密鑰,用于隧道與隧道對端之間的身份認證。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過隧道的編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改隧道的配置。
重要隧道及隧道對端的預共享密鑰需一致,否則系統無法正常建立隧道。
加密配置:IKE配置
配置項
說明
版本
選擇IKE協議的版本。
ikev1
如果VPN網關類型為國密型,則IKE版本僅支持ikev1。
ikev2(默認值)
相對于IKEv1版本,IKEv2版本簡化了SA的協商過程并且對于多網段的場景提供了更好的支持,推薦選擇IKEv2版本。
協商模式
選擇協商模式。
main(默認值):主模式,協商過程安全性高。
如果VPN網關類型為國密型,則協商模式僅支持main。
aggressive:野蠻模式,協商快速且協商成功率高。
協商成功后兩種模式的信息傳輸安全性相同。
加密算法
選擇第一階段協商使用的加密算法。
如果IPsec連接綁定的為普通型VPN網關,則加密算法支持aes(aes128,默認值)、aes192、aes256、des和3des。
如果IPsec連接綁定的為國密型VPN網關,則加密算法支持sm4(默認值)。
說明如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。
aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。
3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。
認證算法
選擇第一階段協商使用的認證算法。
如果IPsec連接綁定的為普通型VPN網關,則認證算法支持sha1(默認值)、md5、sha256、sha384和sha512。
如果IPsec連接綁定的為國密型VPN網關,則認證算法支持sm3(默認值)。
說明在部分本地網關設備上添加VPN配置時,可能需要指定PRF算法,PRF算法與IKE階段認證算法保持一致即可。
DH分組
選擇第一階段協商的Diffie-Hellman密鑰交換算法。
group1:表示DH分組中的DH1。
group2(默認值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設置第一階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400。
LocalId
輸入隧道本端的標識符。默認使用隧道的IP地址作為隧道本端標識符。
該參數僅作為標識符用于在IPsec-VPN連接協商中標識阿里云,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。
如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關設備上IPsec連接的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
RemoteId
輸入隧道對端的標識符。默認值使用隧道關聯的用戶網關中的IP地址作為隧道對端標識符。
該參數僅作為標識符用于在IPsec-VPN連接協商中標識本地網關設備,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。
如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關設備上IPsec連接的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
加密配置:IPsec配置
配置項
說明
加密算法
選擇第二階段協商的加密算法。
如果IPsec連接綁定的為普通型VPN網關,則加密算法支持aes(aes128,默認值)、aes192、aes256、des和3des。
如果IPsec連接綁定的為國密型VPN網關,則加密算法支持sm4(默認值)。
說明如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。
aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。
3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。
認證算法
選擇第二階段協商的認證算法。
如果IPsec連接綁定的為普通型VPN網關,則認證算法支持sha1(默認值)、md5、sha256、sha384和sha512。
如果IPsec連接綁定的為國密型VPN網關,則認證算法支持sm3(默認值)。
DH分組
選擇第二階段協商的Diffie-Hellman密鑰交換算法。
disabled:表示不使用DH密鑰交換算法。
對于不支持PFS的客戶端請選擇disabled。
如果選擇為非disabled的任何一個組,會默認開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的客戶端也要開啟PFS功能。
group1:表示DH分組中的DH1。
group2(默認值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設置第二階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400。
DPD
選擇開啟或關閉對等體存活檢測DPD(Dead Peer Detection)功能。DPD功能默認開啟。
開啟DPD功能后,IPsec連接會發送DPD報文用來檢測對端的設備是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec連接將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測超時后,IPsec連接會自動重新發起IPsec-VPN隧道協商。
對于在2019年04月至2023年01月期間創建的VPN網關實例:
如果創建IPsec連接時使用IKEv1版本,DPD報文的超時時間為30秒。
如果創建IPsec連接時使用IKEv2版本,DPD報文的超時時間為3600秒。
對于在2023年02月之后創建的VPN網關實例:
如果創建IPsec連接時使用IKEv1版本,DPD報文的超時時間為30秒。
如果創建IPsec連接時使用IKEv2版本,DPD報文的超時時間為130秒。
NAT穿越
選擇開啟或關閉NAT(Network Address Translation)穿越功能。NAT穿越功能默認開啟。
開啟NAT穿越功能后,IKE協商過程會刪除對UDP端口號的驗證過程,同時能幫您發現加密通信通道中的NAT網關設備。
BGP配置
如果您已經打開了IPsec連接的BGP功能,您可以根據以下信息為隧道添加BGP配置。如果您未打開IPsec連接的BGP功能,您可以在創建IPsec連接后單獨為隧道開啟BGP功能并添加相應配置。具體操作,請參見單獨為隧道開啟BGP功能。
配置項
說明
隧道網段
輸入隧道的網段。
隧道網段需要是在169.254.0.0/16內的子網掩碼為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
說明一個VPN網關實例下,每個隧道的網段需保持唯一。
本端BGP地址
輸入隧道本端的BGP IP地址。
該地址為隧道網段內的一個IP地址。
標簽
創建IPsec連接時支持為IPsec連接添加標簽,您可以通過標簽對IPsec連接進行標記和分類,便于資源的搜索和聚合。更多信息,請參見標簽。
配置項
說明
標簽鍵
為IPsec連接添加標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。
標簽值
為IPsec連接添加標簽值,支持選擇已有標簽值或輸入新的標簽值。標簽值可以為空。
在彈出的對話框中,單擊確定。
后續步驟
IPsec連接創建完成后,您需要下載IPsec連接對端配置并添加在本地網關設備中。具體操作,請參見下載IPsec連接配置和配置本地網關設備。
下載IPsec連接對端配置
創建IPsec連接后,您可以下載IPsec連接對端的配置,用于后續配置本地網關設備。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,在操作列單擊生成對端配置。
在IPsec連接配置對話框復制配置并保存到您本地,以便用于配置本地網關設備。
如何配置本地網關設備,請參見配置本地網關設備。
查看IPsec連接隧道信息
創建IPsec連接后,您可以在IPsec連接詳情頁面下查看兩條隧道的狀態和信息。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在IPsec連接詳情頁面,查看IPsec連接下兩條隧道的狀態和信息。
字段
說明
Tunnel/Tunnel ID
隧道ID。
隧道主/備角色
隧道角色。
主:表示當前隧道為主隧道。
備:表示當前隧道為備隧道。
網關IP
建立IPsec-VPN連接時阿里云側使用的IP地址。
主隧道默認使用VPN網關實例的IPsec地址1。
備隧道默認使用VPN網關實例的IPsec地址2。
隧道網段
如果隧道開啟了BGP動態路由功能,則該字段顯示為隧道使用的BGP隧道網段。
本端BGP地址
如果隧道開啟了BGP動態路由功能,則該字段顯示為阿里云側使用的BGP IP地址。
連接狀態
隧道的IPsec-VPN協商狀態。
如果IPsec-VPN協商成功,控制臺會顯示第二階段協商成功。
如果IPsec-VPN未能協商成功,控制臺會給出相應提示,您可以根據提示排查未協商成功的原因。相關解決方案,請參見自主排查IPsec-VPN連接問題。
用戶網關
隧道關聯的用戶網關實例。
用戶網關實例中包含了本地數據中心側使用的IP地址和BGP AS號。
狀態
隧道運行狀態。
正常
更新中
刪除中
單獨為隧道開啟BGP功能
創建IPsec連接時如果您并沒有為隧道開啟BGP功能,您可以在創建IPsec連接后單獨為隧道開啟BGP功能。
在為IPsec連接開啟BGP功能前,請確保IPsec連接關聯的用戶網關實例已經配置了BGP AS號,如果用戶網關實例未配置BGP AS號,則該IPsec連接不支持開啟BGP功能。
您可以刪除當前IPsec連接,重新創建,并為IPsec連接關聯已配置有BGP AS號的用戶網關實例。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在IPsec連接實例詳情頁面的IPsec連接基本信息區域,在啟用BGP右側單擊按鈕。
在BGP配置對話框,添加BGP配置,然后單擊確定。
需為兩條隧道同時添加BGP配置。關于BGP配置項的說明,請參見BGP配置。
如果您需要為IPsec連接關閉BGP功能,在啟用BGP右側單擊按鈕,在關閉BGP配置對話框單擊確定即可。
修改隧道的配置
創建IPsec連接后,您可以修改隧道的配置。不支持修改隧道綁定的用戶網關實例。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在IPsec連接實例詳情頁面,找到目標隧道,在操作列單擊編輯。
在編輯頁面,修改隧道的配置,然后單擊確定。
關于隧道下各個配置項的說明,請參見隧道配置。
修改IPsec連接的配置
在IPsec連接已綁定了VPN網關實例的場景下,不支持修改IPsec連接關聯的VPN網關實例,僅支持修改IPsec連接路由模式和立即生效的配置。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,在操作列單擊編輯。
在編輯IPsec連接頁面,修改IPsec連接的名稱、互通網段等配置,然后單擊確定。
關于參數的詳細說明,請參見創建IPsec連接。
刪除IPsec連接
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,在操作列單擊刪除。
在彈出的對話框中,確認信息,然后單擊確定。
通過調用API創建和管理IPsec連接
支持通過阿里云 SDK(推薦)、阿里云 CLI、Terraform、資源編排等工具調用API創建和管理IPsec連接。相關API說明,請參見: