使用手機端(iOS系統)內建的VPN應用和阿里雲建立IPsec-VPN串連前,您需要先建立IPsec服務端,IPsec服務端用於控制手機端(iOS系統)可以訪問哪些網路和資源。
前提條件
您已經建立VPN網關執行個體且VPN網關執行個體已開啟SSL-VPN功能。具體操作,請參見建立和管理VPN網關執行個體。
建立IPsec服務端
登入VPN網關管理主控台。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec服務端的地區。
在IPsec服務端頁面,單擊建立IPsec服務端。
在建立IPsec服務端頁面,根據以下資訊進行配置,然後單擊確定。
配置項
說明
名稱
輸入IPsec服務端的名稱。
資源群組
選擇VPN網關執行個體所屬的資源群組。
IPsec服務端所屬的資源與VPN網關執行個體所屬資源群組保持一致。
VPN網關
輸入IPsec服務端所關聯的VPN網關執行個體。
說明IPsec服務端建立完成後,不支援修改關聯的VPN網關執行個體。
本端網段
輸入用戶端通過IPsec服務端要訪問的位址區段。
本端網段可以是Virtual Private Cloud(Virtual Private Cloud)的網段、交換器的網段、通過物理專線和VPC互連的本機資料中心的網段等。
單擊添加本端網段添加多個本端網段。
客戶端網段
用戶端網段是給用戶端虛擬網卡分配IP地址的網段,不是指用戶端已有的內網網段。當用戶端通過IPsec服務端串連訪問本端時,VPN網關會從指定的用戶端網段中分配一個IP地址給用戶端使用。
重要請確保用戶端網段與本端網段以及VPC中的網段不衝突。
請確保您指定的用戶端網段所包含的IP地址個數是VPN網關中SSL串連數的4倍及以上。
例如:您指定的用戶端網段為192.168.0.0/24,系統在為用戶端分配IP地址時,會先從192.168.0.0/24網段中劃分出一個子網路遮罩為30的子網段,例如192.168.0.4/30,然後從192.168.0.4/30中分配一個IP地址供用戶端使用,剩餘三個IP地址會被系統佔用以保證網路通訊,此時一個用戶端會耗費4個IP地址。因此,請確保您指定的用戶端網段所包含的IP地址個數是VPN網關中SSL串連數的4倍及以上。
預先共用金鑰
輸入IPsec服務端的認證密鑰,用於IPsec服務端與用戶端之間的身份認證。密鑰長度為1~100個字元。
若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec服務端後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec服務端。
重要用戶端的認證密鑰需和IPsec服務端側的預先共用金鑰一致,否則用戶端和IPsec服務端之間無法建立串連。
立即生效
選擇是否立即生效。
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
高級配置:IKE配置
版本
IKE協議的版本。
ikev1
ikev2
目前系統支援IKE V1和IKE V2,相對於IKE V1版本,IKE V2版本簡化了協商過程並且對於多網段的情境提供了更好的支援,建議您選擇IKE V2版本。
LocalId
服務端的標識,預設值為VPN網關SSL地址(若VPN網關為單隧道模式,則該地址為VPN網關公網IP地址)。
該參數是IPsec服務端的身份標識。支援FQDN格式和IP地址格式。IPsec服務端的LocalId需與對端IPsec用戶端的RemoteId值保持一致。
推薦採用IP地址格式。
RemoteId
該參數是用戶端的身份標識。支援FQDN格式和IP地址格式。IPsec服務端的RemoteId需與對端IPsec用戶端的LocalId值保持一致。建議採用IP地址格式。
修改IPsec服務端
登入VPN網關管理主控台。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec服務端的地區。
在IPsec服務端頁面,找到目標IPsec服務端執行個體,在操作列單擊編輯。
在編輯IPsec服務端頁面,更改IPsec服務端的配置,然後單擊確定。
關於參數的說明,請參見建立IPsec服務端。
刪除IPsec服務端
刪除IPsec服務端時,系統會自動斷開當前IPsec服務端已串連的用戶端。
登入VPN網關管理主控台。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec服務端的地區。
在IPsec服務端頁面,找到目標IPsec服務端執行個體,在操作列單擊刪除。
在刪除Ipsec服務端配置對話方塊,確認刪除資訊,然後單擊確定。
通過調用API建立和管理IPsec服務端
支援通過阿里雲 SDK(推薦)、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API建立、修改、刪除IPsec服務端。相關API說明,請參見: