全部產品
Search

搜尋本產品

    VPN Gateway:建立和管理IPsec串連(單隧道模式)

    文件中心

    VPN Gateway:建立和管理IPsec串連(單隧道模式)

    更新時間:Oct 25, 2024

    在配置IPsec-VPN串連實現本機資料中心與VPC互連的過程中,您需要建立IPsec串連以建立加密通訊通道。本文介紹如何建立和管理單隧道模式的IPsec串連。

    背景資訊

    建立IPsec串連時,您可以選擇為IPsec串連開啟或關閉以下功能:

    • DPD:對等體存活檢測DPD(Dead Peer Detection)功能。

      開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。

      系統預設開啟該功能。

    • NAT穿越:NAT(Network Address Translation)穿越功能。

      開啟NAT穿越功能後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能幫您發現加密通訊通道中的NAT Gateway裝置。

      系統預設開啟該功能。

    • BGP:BGP(Border Gateway Protocol)動態路由功能。

      開啟BGP功能後,IPsec串連將通過BGP動態路由協議自動學習和發布路由,可以幫您降低網路維護成本和網路設定風險。

      系統預設關閉該功能。

    • 健全狀態檢查:IPsec串連的健全狀態檢查功能。

      在使用同一個VPN網關執行個體搭建主備IPsec-VPN串連的情境中,您可以通過為IPsec串連配置健全狀態檢查來自動探測主備鏈路的連通性。配置健全狀態檢查功能後,系統將通過向目的IP地址發送ICMP(Internet Control Message Protocol )請求報文來探測IPsec-VPN串連的連通性,如果檢測到主鏈路不可用,則系統會自動將流量切換備鏈路進行傳輸,協助您提高網路的高可用性。

      說明

      IPsec串連健全狀態檢查失敗後系統會重設IPsec隧道,在非主備IPsec-VPN連線應用程式情境下,不推薦您為IPsec串連配置健全狀態檢查,您可以為IPsec串連開啟DPD功能來探測對端的連通性。

      系統預設關閉該功能。

    如果VPN網關執行個體是最新版本,則IPsec串連預設支援DPD功能、NAT穿越功能、BGP動態路由功能和健全狀態檢查功能;如果VPN網關執行個體不是最新版,則您僅可使用目前的版本支援的功能。

    您可以在升級按鈕處查看VPN網關是否是最新版本,如果不是最新版本,您可以通過升級按鈕進行升級。具體操作,請參見升級VPN網關

    前提條件

    在建立IPsec串連前,請您先瞭解IPsec-VPN串連的使用流程,並依據使用流程完成建立IPsec串連前的所有操作步驟。更多資訊,請參見使用流程

    建立IPsec串連

    1. 登入VPN網關管理主控台

    2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

    3. 在頂部功能表列,選擇IPsec串連的地區。

      說明

      IPsec串連的地區需和待綁定的VPN網關執行個體所屬的地區相同。

    4. IPsec串連頁面,單擊建立IPsec串連

    5. 建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定

      基本配置

      配置

      說明

      名稱

      輸入IPsec串連的名稱。

      資源群組

      選擇VPN網關執行個體所屬的資源群組。

      如果您不選擇,系統直接展示所有資源群組下的VPN網關執行個體。

      綁定資源

      選擇IPsec串連綁定的資源類型。請選擇VPN網關

      VPN網關

      選擇IPsec串連待綁定的VPN網關執行個體。

      路由模式

      選擇IPsec串連的路由模式。

      • 目的路由模式(預設值):基於目的IP地址路由和轉寄流量。

      • 感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。

        選擇感興趣流模式後,您需要配置本端網段對端網段。IPsec串連配置完成後,系統自動在VPN網關執行個體的策略路由表中添加策略路由。

        系統在VPN網關執行個體的策略路由表中添加策略路由後,路由預設是未發布狀態。您可以依據網路互連需求決定是否將路由發布至VPC的路由表中。具體操作,請參見發布策略路由

      說明

      如果IPsec串連綁定了VPN網關執行個體,且您選擇的VPN網關執行個體為舊版VPN網關執行個體,則您無需選擇路由模式。

      本端網段

      輸入需要和本機資料中心互連的VPC側的網段,用於第二階段協商。

      單擊文字框右側的添加表徵圖,可添加多個需要和本機資料中心互連的VPC側的網段。

      說明

      如果您配置了多個網段,則後續IKE協議的版本需要選擇為ikev2

      對端網段

      輸入需要和VPC互連的本機資料中心側的網段,用於第二階段協商。

      單擊文字框右側的添加表徵圖,可添加多個需要和VPC側互連的本機資料中心側的網段。

      說明

      如果您配置了多個網段,則後續IKE協議的版本需要選擇為ikev2

      立即生效

      選擇IPsec串連的配置是否立即生效。

      • (預設值):配置完成後系統立即進行IPsec協議協商。

      • :當有流量進入時系統才進行IPsec協議協商。

      使用者網關

      選擇IPsec串連待關聯的使用者網關。

      預先共用金鑰

      輸入IPsec串連的認證密鑰,用於VPN網關執行個體與本機資料中心之間的身份認證。

      • 密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。

      • 若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec串連

      重要

      IPsec串連兩側配置的預先共用金鑰需一致,否則系統無法正常建立IPsec串連。

      啟用BGP

      如果IPsec串連需要使用BGP路由協議,需要開啟BGP功能的開關,系統預設關閉BGP功能。

      使用BGP動態路由功能前,建議您先瞭解BGP動態路由功能工作機制和使用限制。更多資訊,請參見配置BGP動態路由

      本端自治系統號

      輸入IPsec串連阿里雲側的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295

      支援按照兩段位的格式進行輸入,即:前16位位元.後16位位元。每個段位使用十進位輸入。

      例如輸入123.456,則表示自治系統號:123*65536+456=8061384。

      說明

      建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。

      加密配置

      配置

      說明

      加密配置:IKE配置

      版本

      選擇IKE協議的版本。

      • ikev1

      • ikev2(預設值)

        相對於IKEv1版本,IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援,推薦選擇IKEv2版本。

      協商模式

      選擇協商模式。

      • main(預設值):主模式,協商過程安全性高。

      • aggressive:野蠻模式,協商快速且協商成功率高。

      協商成功後兩種模式的資訊傳輸安全性相同。

      密碼編譯演算法

      選擇第一階段協商使用的密碼編譯演算法。

      密碼編譯演算法支援aes(aes128,預設值)、aes192aes256des3des

      說明

      如果VPN網關執行個體的頻寬規格為200 Mbps及以上,推薦使用aesaes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

      • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

      • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      認證演算法

      選擇第一階段協商使用的認證演算法。

      認證演算法支援sha1(預設值)、md5sha256sha384sha512

      說明

      在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。

      DH分組

      選擇第一階段協商的Diffie-Hellman金鑰交換演算法。

      • group1:表示DH分組中的DH1。

      • group2(預設值):表示DH分組中的DH2。

      • group5:表示DH分組中的DH5。

      • group14:表示DH分組中的DH14。

      SA生存周期(秒)

      設定第一階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400

      LocalId

      輸入IPsec串連阿里雲側的標識。預設值為VPN網關執行個體的IP地址。

      該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式。不能包含空格。推薦使用私網IP地址作為IPsec串連阿里雲側的標識。

      如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本機資料中心側IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

      RemoteId

      輸入IPsec串連本機資料中心側的標識。預設值為使用者網關的IP地址。

      該參數僅作為標識符用於在IPsec-VPN串連協商中標識本機資料中心,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為IPsec串連本機資料中心側的標識。

      如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本機資料中心側IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

      加密配置:IPsec配置

      密碼編譯演算法

      選擇第二階段協商的密碼編譯演算法。

      密碼編譯演算法支援aes(aes128,預設值)、aes192aes256des3des

      說明

      如果VPN網關執行個體的頻寬規格為200 Mbps及以上,推薦使用aesaes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

      • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

      • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      認證演算法

      選擇第二階段協商的認證演算法。

      認證演算法支援sha1(預設值)、md5sha256sha384sha512

      DH分組

      選擇第二階段協商的Diffie-Hellman金鑰交換演算法。

      • disabled:表示不使用DH金鑰交換演算法。

        • 對於不支援PFS的用戶端請選擇disabled

        • 如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。

      • group1:表示DH分組中的DH1。

      • group2(預設值):表示DH分組中的DH2。

      • group5:表示DH分組中的DH5。

      • group14:表示DH分組中的DH14。

      SA生存周期(秒)

      設定第二階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400

      DPD

      選擇開啟或關閉對等體存活檢測功能。DPD功能預設開啟。

      • 對於在2019年04月至2023年01月期間建立的VPN網關執行個體:

        • 如果建立IPsec串連時使用IKEv1版本,DPD報文的逾時時間為30秒。

        • 如果建立IPsec串連時使用IKEv2版本,DPD報文的逾時時間為3600秒。

      • 對於在2023年02月之後建立的VPN網關執行個體:

        • 如果建立IPsec串連時使用IKEv1版本,DPD報文的逾時時間為30秒。

        • 如果建立IPsec串連時使用IKEv2版本,DPD報文的逾時時間為130秒。

      NAT穿越

      選擇開啟或關閉NAT穿越功能。NAT穿越功能預設開啟。

      BGP配置

      如果您為IPsec串連開啟了BGP功能,您需要指定BGP隧道網段以及阿里雲側BGP隧道IP地址。

      配置項

      說明

      隧道網段

      輸入IPsec隧道的網段。

      該網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

      本端BGP地址

      輸入IPsec串連阿里雲側的BGP IP地址。

      該地址為隧道網段內的一個IP地址。

      健全狀態檢查

      系統預設關閉健全狀態檢查功能,在添加健全狀態檢查配置前,請先開啟健全狀態檢查功能。

      重要

      為IPsec串連配置健全狀態檢查功能後,請在本機資料中心側添加一條目標網段為源IP,子網路遮罩為32位,下一跳指向IPsec串連的路由條目,以確保IPsec串連健全狀態檢查功能正常工作。

      配置項

      說明

      目標IP

      輸入VPC側通過IPsec串連可以訪問的本機資料中心的IP地址。

      說明

      請確保目的IP地址支援ICMP應答。

      源IP

      輸入本機資料中心通過IPsec串連可以訪問的VPC側的IP地址。

      稍候再試

      選擇健全狀態檢查的稍候再試時間。單位:秒。預設值:3

      重試次數

      選擇健全狀態檢查的重試次數。預設值:3

      標籤

      建立IPsec串連時支援為IPsec串連添加標籤,您可以通過標籤對IPsec串連進行標記和分類,便於資源的搜尋和彙總。更多資訊,請參見標籤

      配置項

      說明

      標籤鍵

      為IPsec串連添加標籤鍵,支援選擇已有標籤鍵或輸入新的標籤鍵。

      標籤值

      為IPsec串連添加標籤值,支援選擇已有標籤值或輸入新的標籤值。標籤值可以為空白。

    6. 在彈出的對話方塊中,單擊確定

    後續步驟

    IPsec串連建立完成後,您需要下載IPsec串連對端配置並添加在本地網關裝置中。具體操作,請參見下載IPsec串連配置配置本地網關裝置

    下載IPsec串連配置

    建立IPsec串連後,您可以下載IPsec串連的配置,用於後續配置本地網關裝置。

    1. 登入VPN網關管理主控台

    2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

    3. 在頂部功能表列,選擇IPsec串連的地區。

    4. IPsec串連頁面,找到目標IPsec串連,在操作列單擊產生對端配置

    5. IPsec串連配置對話方塊複製配置並儲存到您本地,以便用於配置本地網關裝置。

      如何配置本地網關裝置,請參見配置本地網關裝置

    修改IPsec串連

    不支援修改IPsec串連關聯的VPN網關和使用者網關,您可以修改IPsec串連的路由模式、預先共用金鑰、加密配置等資訊。

    1. 登入VPN網關管理主控台

    2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

    3. 在頂部功能表列,選擇IPsec串連的地區。

    4. IPsec串連頁面,找到目標IPsec串連,在操作列單擊編輯

    5. 編輯IPsec串連頁面,修改IPsec串連的名稱、加密配置、互連網段等配置,然後單擊確定

      關於參數的詳細說明,請參見建立IPsec串連

    刪除IPsec串連

    1. 登入VPN網關管理主控台

    2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

    3. 在頂部功能表列,選擇IPsec串連的地區。

    4. IPsec串連頁面,找到目標IPsec串連,在操作列單擊刪除

    5. 在彈出的對話方塊中,確認資訊,然後單擊確定

    通過調用API建立和管理IPsec串連

    支援通過阿里雲 SDK(推薦)阿里雲 CLITerraformResource Orchestration Service等工具調用API建立和管理IPsec串連。相關API說明,請參見: