在使用IPsec-VPN建立本機資料中心與轉寄路由器網路連接的過程中,您需要建立IPsec串連以建立加密通訊通道。本文介紹如何建立和管理單隧道模式的IPsec串連。
IPsec串連綁定轉寄路由器情境中,部分地區的IPsec-VPN串連已支援雙隧道模式,一個雙隧道模式的IPsec-VPN串連包含兩條隧道,兩條隧道自動形成ECMP(Equal-Cost Multipath Routing)鏈路,在一條隧道故障後,流量可以通過另一條隧道進行傳輸,實現IPsec-VPN串連的高可用。在支援多可用性區域的地區,IPsec-VPN串連的兩條隧道會自動分布在不同可用性區域,提供可用性區域層級的容災能力。推薦您使用雙隧道模式的IPsec-VPN串連。更多資訊,請參見綁定轉寄路由器情境雙隧道IPsec-VPN串連說明。
前提條件
在建立IPsec串連前,請您先瞭解IPsec-VPN串連的使用流程,並依據使用流程完成建立IPsec串連前的所有操作步驟。更多資訊,請參見使用流程。
建立IPsec串連
- 登入VPN網關管理主控台。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec串連的地區。
IPsec串連的地區需和待綁定的轉寄路由器執行個體所屬的地區相同。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
基本配置
說明在您建立第一個VPN網關執行個體或第一個IPsec串連(指IPsec串連綁定轉寄路由器的情境)時,系統將自動建立服務關聯角色AliyunServiceRoleForVpn,該服務關聯角色允許VPN網關對彈性網卡、安全性群組等資源進行操作,以便您可以成功建立VPN網關執行個體或IPsec串連。如果您的帳號下已存在該服務關聯角色,系統則不會重複建立。關於AliyunServiceRoleForVpn的更多資訊,請參見AliyunServiceRoleForVpn。
配置
說明
名稱
輸入IPsec串連的名稱。
資源群組
選擇雲企業網執行個體所屬的資源群組。
如果您不選擇,系統直接展示所有資源群組下的雲企業網執行個體。
綁定資源
選擇IPsec串連綁定的資源類型。請選擇Cloud Enterprise Network或者不綁定。
如果您選擇Cloud Enterprise Network,則系統在建立IPsec串連的過程中直接將IPsec綁定至您指定的同帳號的轉寄路由器執行個體。
如果您選擇不綁定,則IPsec串連被建立後不會綁定任何資源。後續您可以在雲企業網CEN(Cloud Enterprise Network)管理主控台將該IPsec串連綁定至同帳號或者跨帳號的轉寄路由器執行個體。具體操作,請參見建立VPN串連。
說明如果您需要更換IPsec串連綁定的轉寄路由器執行個體,您需要先在原轉寄路由器執行個體下卸載VPN串連,然後在目標轉寄路由器下重新建立VPN串連。具體操作,請參見刪除網路執行個體串連和建立VPN串連。
網關類型
選擇IPsec串連的網路類型。
公網(預設值):表示通過公網建立IPsec-VPN串連。
私網:表示通過私網建立IPsec-VPN串連。
Cloud Enterprise Network執行個體ID
選擇轉寄路由器執行個體所屬的雲企業網執行個體。
轉寄路由器
系統直接展示雲企業網執行個體在該地區建立的轉寄路由器執行個體ID。
可用區
選擇可用性區域。
系統將在您選擇的可用性區域下建立資源。
路由模式
選擇IPsec串連的路由模式。
目的路由模式(預設值):基於目的IP地址路由和轉寄流量。
感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。
選擇感興趣流模式後,您需要配置本端網段和對端網段。IPsec串連配置完成後,系統自動在IPsec串連下的目的路由表中添加目的路由,路由預設會被發布至IPsec串連關聯的轉寄路由器的路由表中。
本端網段
輸入需要和本機資料中心互連的阿里雲側的網段,用於第二階段協商。
單擊文字框右側的
表徵圖,可添加多個需要和本機資料中心互連的阿里雲側的網段。說明如果您配置了多個網段,則後續IKE協議的版本需要選擇為ikev2。
對端網段
輸入需要和阿里雲互連的本機資料中心側的網段,用於第二階段協商。
單擊文字框右側的
表徵圖,可添加多個需要和阿里雲側互連的本機資料中心側的網段。說明如果您配置了多個網段,則後續IKE協議的版本需要選擇為ikev2。
立即生效
選擇IPsec串連的配置是否立即生效。
是(預設值):配置完成後系統立即進行IPsec協議協商。
否:當有流量進入時系統才進行IPsec協議協商。
使用者網關
選擇IPsec串連待關聯的使用者網關。
預先共用金鑰
輸入IPsec串連的認證密鑰,用於轉寄路由器執行個體與本機資料中心之間的身份認證。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec串連。
重要IPsec串連兩側配置的預先共用金鑰需一致,否則系統無法正常建立IPsec串連。
啟用BGP
如果IPsec串連需要使用BGP路由協議,需要開啟BGP功能的開關,系統預設關閉BGP功能。
使用BGP動態路由功能前,建議您先瞭解BGP動態路由功能工作機制和使用限制。更多資訊,請參見配置BGP動態路由。
本端自治系統號
如果IPsec串連啟用了BGP功能,需輸入IPsec串連阿里雲側的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295。
支援按照兩段位的格式進行輸入,即:前16位位元.後16位位元。每個段位使用十進位輸入。
例如輸入123.456,則表示自治系統號:123*65536+456=8061384。
說明建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。
加密配置
配置
說明
加密配置:IKE配置
版本
選擇IKE協議的版本。
ikev1
ikev2(預設值)
相對於IKEv1版本,IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援,推薦選擇IKEv2版本。
協商模式
選擇協商模式。
main(預設值):主模式,協商過程安全性高。
aggressive:野蠻模式,協商快速且協商成功率高。
協商成功後兩種模式的資訊傳輸安全性相同。
密碼編譯演算法
選擇第一階段協商使用的密碼編譯演算法。
密碼編譯演算法支援aes(aes128,預設值)、aes192、aes256、des和3des。
說明推薦使用aes、aes192、aes256密碼編譯演算法,不推薦使用des、3des密碼編譯演算法。
aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。
3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。
認證演算法
選擇第一階段協商使用的認證演算法。
認證演算法支援sha1(預設值)、md5、sha256、sha384和sha512。
DH分組
選擇第一階段協商的Diffie-Hellman金鑰交換演算法。
group1:表示DH分組中的DH1。
group2(預設值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設定第一階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400。
LocalId
為IPsec串連阿里雲側的標識,用於第一階段的協商。預設值為IPsec串連的網關IP地址。
該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為IPsec串連阿里雲側的標識。
如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本機資料中心側IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
RemoteId
為IPsec串連本機資料中心側的標識,用於第一階段的協商。預設值為使用者網關的IP地址。
該參數僅作為標識符用於在IPsec-VPN串連協商中標識本機資料中心,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為IPsec串連本機資料中心側的標識。
如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本機資料中心側IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
加密配置:IPsec配置
密碼編譯演算法
選擇第二階段協商的密碼編譯演算法。
密碼編譯演算法支援aes(aes128,預設值)、aes192、aes256、des和3des。
說明推薦使用aes、aes192、aes256密碼編譯演算法,不推薦使用des、3des密碼編譯演算法。
aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。
3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。
認證演算法
選擇第二階段協商的認證演算法。
認證演算法支援sha1(預設值)、md5、sha256、sha384和sha512。
DH分組
選擇第二階段協商的Diffie-Hellman金鑰交換演算法。
disabled:表示不使用DH金鑰交換演算法。
對於不支援PFS的用戶端請選擇disabled。
如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。
group1:表示DH分組中的DH1。
group2(預設值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設定第二階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400。
DPD
選擇開啟或關閉對等體存活檢測DPD(Dead Peer Detection)功能。DPD功能預設開啟。
開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。
NAT穿越
選擇開啟或關閉NAT(Network Address Translation)穿越功能。NAT穿越功能預設開啟。
開啟NAT穿越功能後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能幫您發現加密通訊通道中的NAT Gateway裝置。
BGP配置
如果您為IPsec串連開啟了BGP功能,您需要指定BGP隧道網段以及阿里雲側BGP隧道IP地址。
配置項
說明
隧道網段
輸入IPsec隧道的網段。
隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
本端BGP地址
輸入IPsec串連阿里雲側的BGP IP地址。
該地址為隧道網段內的一個IP地址。
健全狀態檢查
系統預設關閉健全狀態檢查功能,在添加健全狀態檢查配置前,請先開啟健全狀態檢查功能。
重要為IPsec串連配置健全狀態檢查功能後,請在本機資料中心側添加一條目標網段為源IP,子網路遮罩為32位,下一跳指向IPsec串連的路由條目,以確保IPsec串連健全狀態檢查功能正常工作。
配置項
說明
目標IP
輸入阿里雲側通過IPsec串連可以訪問的本機資料中心的IP地址。
說明請確保目的IP地址支援ICMP應答。
源IP
輸入本機資料中心通過IPsec串連可以訪問的阿里雲側的IP地址。
稍候再試
選擇健全狀態檢查的稍候再試時間。單位:秒。預設值:3。
重試次數
選擇健全狀態檢查的重試次數。預設值:3。
切換路由
選擇健全狀態檢查失敗後是否允許系統撤銷發行的路由。預設值:是,即健全狀態檢查失敗後,允許系統撤銷發行的路由。
如果您取消選中是,則健全狀態檢查失敗後,系統不會撤銷發行的路由。
進階配置
建立IPsec串連時,系統預設幫您選中以下三種進階功能。
配置項
說明
自動發布路由
開啟本功能後,系統會將轉寄路由器路由表(指IPsec串連關聯的轉寄路由器路由表)中的路由條目自動傳播至IPsec串連的BGP路由表中。
說明在IPsec串連和本機資料中心之間運行BGP動態路由協議的情況下,本功能才會生效。
後續您也可以通過自動發布路由功能關閉該功能。具體操作,請參見關閉路由同步。
自動關聯至轉寄路由器的預設路由表
開啟本功能後,IPsec串連會關聯至轉寄路由器的預設路由表,轉寄路由器會通過查詢預設路由錶轉發來自IPsec串連的流量。
自動傳播系統路由至轉寄路由器的預設路由表
開啟本功能後,系統會將IPsec串連目的路由表和BGP路由表中的路由傳播至轉寄路由器的預設路由表中。
您也可以取消選中以上進階功能,後續通過轉寄路由器的多個路由功能自訂網路連通性。具體操作,請參見路由管理。
標籤
建立IPsec串連時支援為IPsec串連添加標籤,您可以通過標籤對IPsec串連進行標記和分類,便於資源的搜尋和彙總。更多資訊,請參見標籤。
配置項
說明
標籤鍵
為IPsec串連添加標籤鍵,支援選擇已有標籤鍵或輸入新的標籤鍵。
標籤值
為IPsec串連添加標籤值,支援選擇已有標籤值或輸入新的標籤值。標籤值可以為空白。
後續步驟
IPsec串連建立完成後,您需要下載IPsec串連對端配置並添加到本地網關裝置中。具體操作,請參見下載IPsec串連對端配置和配置本地網關裝置。
下載IPsec串連配置
建立IPsec串連後,您可以下載IPsec串連的配置,用於後續配置本地網關裝置。
登入VPN網關管理主控台。
在左側導覽列,選擇。
- 在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,找到目標IPsec串連,在操作列單擊產生對端配置。
在IPsec串連配置對話方塊複製配置並儲存到您本地,以便用於配置本地網關裝置。
如何配置本地網關裝置,請參見配置本地網關裝置。
IPsec串連向跨帳號的轉寄路由器執行個體授權
IPsec串連支援與跨帳號的轉寄路由器執行個體綁定。在IPsec串連與跨帳號的轉寄路由器執行個體綁定前,IPsec串連需要向跨帳號的轉寄路由器執行個體授權。
在執行授權操作前,請確保IPsec串連未綁定任何資源,如果IPsec串連已綁定轉寄路由器執行個體,則需先解除綁定關係。具體操作,請參見刪除網路執行個體串連。
登入VPN網關管理主控台。
在左側導覽列,選擇。
- 在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,找到目標IPsec串連,單擊IPsec串連ID。
在IPsec串連詳情頁面的雲企業網跨帳號授權頁簽,單擊雲企業網跨帳號授權。
在加入雲企業網對話方塊,根據以下資訊進行配置,然後單擊確定。
配置項
說明
對方帳號UID
轉寄路由器執行個體所屬阿里雲帳號(主帳號)ID。
對方雲企業網執行個體ID
轉寄路由器執行個體所屬的雲企業網執行個體ID。
資費承擔方式
選擇付費方。
CEN使用者承擔資費(預設值):表示轉寄路由器執行個體綁定IPsec串連後產生的轉寄路由器串連費、轉寄路由器流量處理費由轉寄路由器執行個體所屬的帳號承擔。
VPN使用者承擔資費:表示轉寄路由器執行個體綁定IPsec串連後產生的轉寄路由器串連費、轉寄路由器流量處理費由IPsec串連所屬的帳號承擔。
重要請謹慎選擇資費承擔方。變更資費承擔方,可能會影響您的業務。更多資訊,請參見變更網路執行個體資費承擔方。
轉寄路由器執行個體綁定IPsec串連後產生的IPsec串連執行個體費、IPsec串連流量費仍舊由IPsec串連所屬的帳號承擔。
記錄IPsec串連ID和IPsec串連所屬的阿里雲帳號(主帳號)ID,以便後續建立VPN串連。具體操作,請參見建立VPN串連。
您可以在帳號管理頁面查看帳號ID。
修改IPsec串連
如果IPsec串連已綁定轉寄路由器執行個體,不支援修改IPsec串連關聯的轉寄路由器執行個體、部署的可用性區域以及網關類型,您可以修改IPsec串連關聯的使用者網關、路由模式、預先共用金鑰、加密配置等資訊。
如果IPsec串連當前未綁定任何資源,不支援修改IPsec串連的網關類型,您可以修改IPsec串連的使用者網關、路由模式、預先共用金鑰、加密配置等資訊。
登入VPN網關管理主控台。
在左側導覽列,選擇。
- 在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,找到目標IPsec串連,在操作列單擊編輯。
在編輯IPsec串連頁面,修改IPsec串連的名稱、加密配置、互連網段等配置,然後單擊確定。
關於參數的詳細說明,請參見建立IPsec串連。
取消IPsec串連向跨帳號轉寄路由器執行個體的授權
如果您不再需要IPsec串連被綁定至跨帳號的轉寄路由器執行個體,您可以取消IPsec串連向跨帳號的轉寄路由器執行個體的授權。
如果跨帳號的轉寄路由器執行個體已經與IPsec串連建立了綁定關係,請先解除跨帳號轉寄路由器執行個體與網路執行個體的綁定關係。具體操作,請參見刪除網路執行個體串連。
登入VPN網關管理主控台。
在左側導覽列,選擇。
- 在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,找到目標IPsec串連,單擊IPsec串連ID。
在IPsec串連詳情頁面的雲企業網跨帳號授權頁簽,找到目標授權記錄,在操作列單擊取消授權。
在取消授權對話方塊,確認資訊,然後單擊確定。
刪除IPsec串連
如果IPsec串連綁定了轉寄路由器執行個體,在執行操作前,請確保IPsec串連已經和轉寄路由器執行個體解除綁定。具體操作,請參見刪除網路執行個體串連。
登入VPN網關管理主控台。
在左側導覽列,選擇。
- 在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,找到目標IPsec串連,在操作列單擊刪除。
在彈出的對話方塊中,確認資訊,然後單擊確定。
通過調用API建立和管理IPsec串連
支援通過阿里雲 SDK(推薦)、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API建立和管理IPsec串連。相關API說明,請參見: