ALIYUN::VPC::VpnConnection

属性名称

类型

必须

允许更新

描述

约束

Name

String

否

是

IPsec连接的名称。

长度为2~128个字符。必须以英文字母或汉字开头，不能以http://或https://开头。可包含英文字母、汉字、数字、英文句点（.）、下划线（_）和短划线（-）。

IkeConfig

Map

否

是

第一阶段协商的配置信息。

详情请参见IkeConfig属性。

IpsecConfig

Map

否

是

第二阶段协商的配置信息。

详情请参见IpsecConfig属性。

HealthCheckConfig

Map

否

否

健康检查的配置信息。

详情请参见HealthCheckConfig属性。

VpnGatewayId

String

是

否

VPN网关的ID。

无

CustomerGatewayId

String

否

否

用户网关的ID。

无

RemoteSubnet

String

是

是

本地IDC的网段，用于第二阶段协商。

多个网段之间用半角逗号（,）分隔，例如：192.168.3.0/24,192.168.4.0/24。

LocalSubnet

String

是

是

和本地IDC互连的VPC侧的网段，用于第二阶段协商。

多个网段之间用半角逗号（,）分隔，例如：192.168.1.0/24,192.168.2.0/24。

EffectImmediately

Boolean

否

是

是否删除当前已协商成功的IPsec隧道并重新发起协商。

取值：

• true：配置完成后立即进行协商。

• false（默认值）：当有流量进入时进行协商。

EnableTunnelsBgp

Boolean

否

否

隧道BGP的开启状态。

取值：

• true：已开启。

• false：未开启。

RemoteCaCertificate

String

否

否

对端的CA证书。

无

BgpConfig

Map

否

是

隧道的BGP配置信息。

更多信息，请参见BgpConfig属性。

AutoConfigRoute

Boolean

否

是

是否自动配置路由。 

取值：

• false：手动配置路由。 

• true（默认）：自动配置路由。 

EnableDpd

Boolean

否

是

IPsec连接是否已开启DPD（对等体存活检测）功能。

取值：

• true：开启DPD功能。

  IPsec发起端会发送DPD报文用来检测对端的设备是否存活，如果在设定时间内未收到正确回应则认为对端已经断线，IPsec将删除ISAKMP SA和相应的IPsec SA，安全隧道同样也会被删除。

• false：不开启DPD功能，IPsec发起端不会发送DPD探测报文。

EnableNatTraversal

Boolean

否

是

隧道是否已开启NAT穿越功能。

取值：

• false：未开启。

• true：已开启。

TunnelOptionsSpecification

List

否

否

IPsec连接的隧道配置信息。

更多信息，请参见TunnelOptionsSpecification属性。

属性名称

类型

必须

允许更新

描述

约束

RemoteId

String

否

是

用户网关的标识。

最大长度为100个字符。默认值为用户网关的公网IP地址。

Psk

String

否

是

IPsec VPN网关与用户网关之间的身份认证。

最大长度为100个字符。默认情况下该参数值会随机生成，您也可以手动指定密钥。

IkeVersion

String

否

是

IKE协议的版本。

取值：

• ikev1（默认值）

• ikev2

IkeMode

String

否

是

IKE V1版本的协商模式。

取值：

• main（默认值）

• aggressive

IkeAuthAlg

String

否

是

第一阶段协商的认证算法。

取值：

• md5（默认值）

• sha1

IkeEncAlg

String

否

是

第一阶段协商的加密算法。

取值：

• aes（默认值）

• aes192

• aes256

• des

• 3des

IkePfs

String

否

是

第一阶段协商使用的Diffie-Hellman密钥交换算法。

取值：

• group1

• group2（默认值）

• group5

• group14

• group24

IkeLifetime

Integer

否

是

第一阶段协商出的SA的生存周期。

取值范围：0~86,400。

默认值：86,400。

LocalId

String

否

是

VPN网关的标识。

长度限制为100个字符，默认值为VPN网关的IP地址。

属性名称

类型

必须

允许更新

描述

约束

IpsecAuthAlg

String

否

是

第二阶段协商的认证算法。

取值：

• md5（默认值）

• sha1

IpsecEncAlg

String

否

是

第二阶段协商的加密算法。

取值：

• aes（默认值）

• aes192

• aes256

• des

• 3des

IpsecLifetime

Integer

否

是

第二阶段协商出的SA的生存周期。

取值范围：0~86,400。

单位：秒。

默认值：86,400。

IpsecPfs

String

否

是

第二阶段协商使用的Diffie-Hellman密钥交换算法。

取值：

• group1

• group2（默认值）

• group5

• group14

• group24

属性名称

类型

必须

允许更新

描述

约束

Enable

Boolean

否

是

是否开启健康检查。

取值：

• true

• false

如果取值为true，则其他参数必须配置。

Interval

Integer

否

是

健康检查的重试间隔时间。

单位：秒。

Retry

Integer

否

是

健康检查的重试发包次数。

无

Dip

String

否

是

目标IP，即通过IPSec连接可以访问的线下IDC的IP地址。

无

Sip

String

否

是

源IP，即线下IDC通过IPSec连接可以访问的IP地址。

无

Policy

String

否

是

健康检查失败时是否撤销发布的路由。 

无

属性名称

类型

必须

允许更新

描述

约束

TunnelCidr

String

否

是

隧道的BGP网段。

无

LocalBgpIp

String

否

是

隧道本端（阿里云侧）的BGP地址。

无

EnableBgp

Boolean

否

否

指定隧道是否启用BGP特性。 

取值： 

• true。

• false。 

默认值：false。

LocalAsn

Number

否

是

隧道本端（阿里云侧）的自治系统号。

无

属性名称

类型

必须

允许更新

描述

约束

RemoteCaCertificate

String

否

否

隧道对端的CA证书。

仅VPN网关实例的类型为国密型时才会返回当前参数。

CustomerGatewayId

String

否

是

隧道关联的用户网关ID。

无

TunnelBgpConfig

Map

否

是

隧道的BGP配置信息。

更多信息，请参见TunnelBgpConfig属性。

TunnelIpsecConfig

Map

否

否

第二阶段协商的配置。

更多信息，请参见TunnelIpsecConfig属性。

EnableDpd

Boolean

否

是

IPsec连接是否已开启DPD（对等体存活检测）功能。

取值：

• true：开启DPD功能。

  IPsec发起端会发送DPD报文用来检测对端的设备是否存活，如果在设定时间内未收到正确回应则认为对端已经断线，IPsec将删除ISAKMP SA和相应的IPsec SA，安全隧道同样也会被删除。

• false：不开启DPD功能，IPsec发起端不会发送DPD探测报文。

TunnelIkeConfig

Map

否

是

第一阶段协商的配置。

更多信息，请参见TunnelIkeConfig属性。

EnableNatTraversal

Boolean

否

是

IPsec连接是否已开启NAT穿越功能。

取值：

• true：开启NAT穿越功能。

  开启后，IKE协商过程会删除对UDP端口号的验证过程，同时实现对VPN隧道中NAT网关设备的发现功能。

• false：不开启NAT穿越功能。

Role

String

否

是

隧道的角色。

取值：

• master：表示当前隧道为主隧道。

• slave：表示当前隧道为备隧道。

属性名称

类型

必须

允许更新

描述

约束

TunnelCidr

String

否

是

隧道的BGP网段。

无

LocalBgpIp

String

否

是

隧道本端（阿里云侧）的BGP地址。

无

LocalAsn

Number

否

是

隧道本端（阿里云侧）的自治系统号。

无

属性名称

类型

必须

允许更新

描述

约束

IpsecAuthAlg

String

否

是

IPsec阶段认证算法。

无

IpsecEncAlg

String

否

是

IPsec阶段加密算法。

无

IpsecPfs

String

否

是

IPsec阶段生存时间。

单位：秒。

IpsecLifetime

Integer

否

是

隧道本端（阿里云侧）的自治系统号。

无

属性名称

类型

必须

允许更新

描述

约束

Psk

String

否

是

预共享密钥。

无

IkePfs

String

否

是

IKE阶段DH分组。

无

LocalId

String

否

是

隧道本端（阿里云侧）的标识。

无

IkeVersion

String

否

是

IKE协议版本。

取值：

• ikev1

• ikev2

相对于IKEv1版本，IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持。

IkeAuthAlg

String

否

是

IKE阶段认证算法。

IkeMode

String

否

是

IKE协商模式。

物质：

• main：主模式，协商过程安全性高。

• aggressive：野蛮模式，协商快速且协商成功率高。

RemoteId

String

否

是

隧道对端的标识。

无

IkeLifetime

Integer

否

是

IKE阶段生存时间。

单位：秒。

IkeEncAlg

String

否

是

IKE阶段加密算法。

无