前提条件
- 在创建IPsec连接前,请先了解IPsec VPN连接的使用流程,并依据使用流程完成创建IPsec连接的所有前置操作步骤。
- 如果IPsec连接绑定了国密型的VPN网关实例,则在创建IPsec连接前,需要在证书管理中上传相关的国密证书。
创建IPsec连接 (普通型-密钥认证)
- 登录控制中心。
- 单击控制中心左上角的
,选择VPN网关实例所在地域。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入IPsec VPN页面。
- 单击“IPsec连接”,进入“IPsec连接”页签。
- 单击“创建IPsec连接”,按照提示配置参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | VPN连接的名称。 | connection-1 |
| VPN网关 | 选择已经创建的VPN网关。 | vpn-gateway-46c1-ipsec |
| 用户网关 | 选择已经创建的用户网关。 | user-gateway-5da3 |
| 路由模式 | 支持目的路由和感兴趣路由两种路由模式。 | 感兴趣路由 |
| 本端子网 | 选择VPC侧哪个子网需要和企业侧进行联通。 | subnet-b2a0(192.168.1.0/24) |
| 对端网段 | 配置企业侧哪个网段需要和VPC侧进行联通。 | 172.16.1.0/24 |
| 协商生效 | 支持立即协商和流量触发两种协商方式。 | 立即生效 |
| 认证方式 | 支持秘钥认证和证书认证两种认证方式。 | 秘钥认证 |
| 预共享秘钥 | 认证方式选择密钥认证时,用于设置自定义秘钥。 | ctyun***01 |
| 确认秘钥 | 认证方式选择密钥认证时,用于设置确认秘钥。 | ctyun***01 |
| LocalId | 支持FQDN和IP格式。 | 默认为当前选取的网关地址,如11.XX.XX.11 |
| RemoteId | 支持FQDN和IP格式。 | 默认选择用户网关的公网地址,如121.XX.XX.113 |
- 单击“确认”,完成IPsec连接创建。
创建IPsec连接 (普通型-证书认证)
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入IPsec VPN页面。
- 单击“IPsec连接”,进入“IPsec连接”页签。
- 单击“创建IPsec连接”,按照提示配置参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | VPN连接的名称。 | connection-1 |
| VPN网关 | 选择已经创建的VPN网关。 | vpn-gateway-46c1-ipsec |
| 用户网关 | 选择已经创建的用户网关。 | user-gateway-5da3 |
| 路由模式 | 支持目的路由和感兴趣路由两种路由模式。 | 感兴趣路由 |
| 本端子网 | 选择VPC侧哪个子网需要和企业侧进行联通。 | subnet-b2a0(192.168.1.0/24) |
| 对端网段 | 配置企业侧哪个网段需要和VPC侧进行联通。 | 172.16.1.0/24 |
| 协商生效 | 支持立即协商和流量触发两种协商方式。 | 立即生效 |
| 认证方式 | 支持秘钥认证和证书认证两种认证方式。 | 证书认证 |
| 认证选择 | 认证方式选择证书认证时,用于选择使用的加密证书。支持选择“自签(默认)”或自行上传的证书。 | 自签(默认) |
| LocalId | 仅支持DN格式。 | 系统默认填充,不支持修改。 |
| RemoteId | 仅支持DN格式。 | 系统默认填充,不支持修改。 |
- 单击“确认”,完成IPsec连接创建。
创建IPsec连接 (国密型)
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入IPsec VPN页面。
- 单击“IPsec连接”,进入“IPsec连接”页签。
- 单击“创建IPsec连接”,按照提示配置参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | VPN连接的名称。 | connection-1 |
| VPN网关 | 选择已经创建的VPN网关。 | vpn-gateway-46c1-ipsec |
| 用户网关 | 选择已经创建的用户网关。 | user-gateway-5da3 |
| 路由模式 | 支持目的路由和感兴趣路由两种路由模式。 | 感兴趣路由 |
| 本端子网 | 选择VPC侧哪个子网需要和企业侧进行联通。 | subnet-b2a0(192.168.1.0/24) |
| 对端网段 | 配置企业侧哪个网段需要和VPC侧进行联通。 | 172.16.1.0/24 |
| 协商生效 | 支持立即协商和流量触发两种协商方式。 | 立即生效 |
| 认证方式 | 支持证书认证。 | 证书认证 |
| 认证选择 | 认证方式选择证书认证时,用于选择使用的加密证书。需要先在证书管理中上传相关的国密证书。 | cert-e437 |
| LocalId | 仅支持DN格式,非必填。 | 建议留空。 |
| RemoteId | 远端用户网关证书的名称,仅支持DN格式,名称需要从对端使用的证书中获取。 | /CN=vpn2.home.gm.sig/OU=ctyun/O=ctyun/C=cn |
- 单击“确认”,完成IPsec连接创建。
IKE策略
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 认证算法 | 认证哈希算法,支持的算法:SHA1、SHA256、SHA384、SHA512、SM3(国密型网关使用)。 默认配置为:SHA1 |
SHA256 |
| 加密算法 | 加密算法,支持的算法:AES-128、AES-192、AES-256、3DES、SM4(国密型网关使用)。 默认配置为:AES-128 |
AES-128 |
| DH算法 | Diffie-Hellman密钥交换算法,支持的算法:Group 2、Group 5、Group 14。 默认配置为:Group 5 |
Group 14 |
| 版本 | IKE密钥交换协议版本,支持的版本:v1、v2、国密IKE。 默认配置为:v1 |
v2 |
| 生命周期(秒) | 安全联盟(SA—Security Associations)的生存时间,单位:秒。 在超过生存时间后,安全联盟将被重新协商。 默认配置为:86400 |
86400 |
| 协商模式 | 支持Main、Aggressive两种模式。默认配置为:Main | Main |
IPsec策略
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 认证算法 | 认证哈希算法,支持的算法:SHA1、SHA256、SHA384、SHA512、SM3(国密型网关使用)。 默认配置为:SHA1 |
SHA2-256 |
| 加密算法 | 加密算法,支持的算法:AES-128、AES-192、AES-256、3DES、SM4(国密型网关使用)。 默认配置为:AES-128 |
AES-128 |
| PFS | PFS(Perfect Forward Secrecy)即完美前向安全功能,用来配置IPsec隧道协商时使用。 PFS组支持的算法:DH group 2、DH group 5、DH group 14。 默认配置为:DH group 5 |
DH group 14 |
| DPD | 选择开启或关闭对等体存活检测功能。默认配置为:启用 | 启用 |
| 传输协议 | IPsec传输和封装用户数据时使用的安全协议,目前支持的协议: ESP。 默认配置为:ESP |
ESP |
| 生命周期(秒) | 安全联盟(SA—Security Associations)的生存时间,单位:秒。 在超过生存时间后,安全联盟将被重新协商。 |
3600 |
