轉寄路由器支援串連VPN網關的IPsec串連。本機資料中心可以通過IPsec串連直接連接至轉寄路由器,然後通過轉寄路由器實現與其他網路的互連,例如實現本機資料中心與同地區VPC執行個體互連、與跨地區VPC執行個體互連、與其他本機資料中心互連等。
從2024年11月26日開始,新建立的IPsec-VPN串連預設為雙隧道模式,在1條隧道故障的情況下,流量可以通過另1條隧道進行傳輸,實現IPsec-VPN串連的高可用。關於雙隧道模式的更多資訊,請參考VPN網關的產品文檔:綁定轉寄路由器。
使用限制
僅企業版轉寄路由器支援建立VPN串連。
目前,僅部分地區下的IPsec串連支援串連至轉寄路由器執行個體。關於地區詳情,請參見IPsec-VPN功能支援的地區。
建立VPN串連後,系統自動在轉寄路由器所有路由表的出地區網關方向添加策略優先順序為5000、策略行為為拒絕的路由策略,該條路由策略會拒絕VPN串連、邊界路由器VBR(Virtual Border Router)串連、雲串連網CCN(Cloud Connect Network)串連之間相互連信。
在本機資料中心已通過IPsec-VPN(IPsec串連綁定VPN網關執行個體)和VPC接入轉寄路由器的情況下,如果您又通過建立VPN串連的方式將當前本機資料中心直接接入了轉寄路由器,則VPC所在鏈路和VPN串連所在鏈路不支援做流量的負載平衡。
資源配額限制如下表所示。
資源
預設限制
申請更多配額
每個轉寄路由器支援建立的VPN串連數量
50個
您可以通過以下兩種方式自主申請提升配額:
在雲企業網配額管理頁面申請提升配額。具體操作,請參見提升雲企業網配額。
每個轉寄路由器下支援ECMP(Equal-Cost Multipath Routing)的VPN串連數量
16個
無法調整
每個IPsec串連支援串連的轉寄路由器數量
1個
無法調整
計費說明
在您使用VPN串連的過程中,將會涉及轉寄路由器串連費、轉寄路由器流量處理費、IPsec串連執行個體費、流量費和出方向流量費計費項目。依據IPsec串連的網路類型,系統將會對不同計費項目進行計費。VPN串連計費規則如下表所示。
VPN串連計費規則(公網)
計費項目序號 | 計費項目名稱 | 計費項目說明 | 相關文檔 |
① | 轉寄路由器串連費 | 指轉寄路由器串連IPsec串連後產生的串連費。 | |
② | 轉寄路由器流量處理費 | 指IPsec串連向轉寄路由器發送流量後產生的流量處理費。 | |
③ | IPsec串連執行個體費 | 指建立IPsec串連後產生的執行個體費。 | |
④ | 流量費 | 指IPsec串連向本機資料中心發送流量後產生的流量費。 |
VPN串連計費規則(私網)
計費項目序號 | 計費項目名稱 | 計費項目說明 | 相關文檔 |
① | 轉寄路由器串連費 | 指轉寄路由器串連VBR執行個體和IPsec串連後產生的串連費。 |
|
② | 轉寄路由器流量處理費 | 指VBR執行個體向轉寄路由器發送流量後產生的處理費。 | |
③ | IPsec串連執行個體費 | 指建立IPsec串連後產生的執行個體費。 | |
④ | 出方向流量費 | 指VBR執行個體向本機資料中心發送流量後產生的流量費。 |
建立流程
在建立VPN串連前,您需要先建立一個IPsec串連。本機資料中心通過IPsec串連接入阿里雲,建立VPN串連即是將轉寄路由器和IPsec串連關聯起來,關聯後,本機資料中心便可通過IPsec串連接入轉寄路由器,進而可與轉寄路由器下的其他網路互連。
您可以在雲企業網CEN(Cloud Enterprise Network)管理主控台建立IPsec串連,也可以在VPN網關管理主控台建立IPsec串連,且您也可以建立跨帳號的IPsec串連。依據IPsec串連所屬的帳號以及建立IPsec串連的位置,VPN串連建立流程如下圖所示。
建立IPsec串連時,需要為IPsec串連指定使用者網關,因此在建立IPsec串連前,需要先建立使用者網關。
在VPN網關管理主控台建立IPsec串連時,綁定資源需選擇為不綁定。
前提條件
建立VPN串連
登入雲企業網管理主控台。
在云企业网实例頁面,找到目標雲企業網執行個體,單擊目標執行個體ID。
在頁簽,找到目標地區的轉寄路由器執行個體,在操作列單擊建立網路執行個體串連。
在串連網路執行個體頁面,根據以下資訊配置VPN串連的資訊,然後單擊確定建立。
依據建立IPsec串連流程的不同,您需要配置不同的配置項,此處羅列出所有配置項說明,供您參考。
說明在首次執行此操作時,系統會自動為您建立一個服務關聯角色,角色名稱為AliyunServiceRoleForVpn,該服務關聯角色允許VPN網關對彈性網卡、安全性群組等資源進行操作,以便您可以成功建立VPN串連。如果您的帳號下已存在該服務關聯角色,系統則不會重複建立。關於AliyunServiceRoleForVpn的更多資訊,請參見AliyunServiceRoleForVpn。
雙隧道模式
基本配置
配置項
說明
執行個體類型
選擇虛擬私人網路(VPN)。
地區
選擇轉寄路由器所屬的地區。
轉寄路由器
系統自動顯示當前地區下已建立的轉寄路由器執行個體。
資源歸屬UID
選擇IPsec串連所屬的帳號類型。
轉寄路由器支援串連同帳號和跨帳號的IPsec串連:
如果IPsec串連與轉寄路由器執行個體屬於同一個阿里雲帳號,請選擇同帳號。
如果IPsec串連與轉寄路由器執行個體屬於不同的阿里雲帳號,請選擇跨帳號,並輸入IPsec串連所屬的阿里雲帳號(主帳號)ID。
單項資源
選擇IPsec串連的類型。取值:
建立資源:表示轉寄路由器串連新建立的IPsec串連。
VPN串連建立完成後,系統將會新建立一個IPsec串連並與轉寄路由器綁定。您可以在VPN網關管理主控台通過編輯按鈕查看新建立的IPsec串連的資訊。具體操作,請參見修改IPsec串連。
現有資源:表示轉寄路由器串連已建立的IPsec串連。
串連名稱
輸入VPN串連的名稱。
網關類型
選擇IPsec串連的網路類型。取值:
公網(預設值):表示IPsec串連通過公網建立加密通訊通道。
私網:表示IPsec串連通過私網建立加密通訊通道。
路由模式
選擇IPsec串連的路由模式。取值:
目的路由模式(預設值):基於目的IP地址路由和轉寄流量。
感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。
選擇感興趣流模式後,您需要配置本端網段和對端網段。VPN串連配置完成後,系統自動在IPsec串連下的目的路由表中添加目的路由,目的路由預設會被發布至IPsec串連關聯的轉寄路由器的路由表中。
立即生效
選擇IPsec串連的配置是否立即生效。 取值:
是:配置完成後系統立即進行IPsec協議協商。
否(預設值):當有流量進入時系統才進行IPsec協議協商。
啟用BGP
關(預設值):手動設定靜態路由。
開:IPsec串連將通過BGP動態路由協議自動學習和發布路由。
本端自治系統號
如果您已將啟用BGP置為開,則需要配置此項。如果未開啟,則不需要配置。
輸入IPsec串連阿里雲側的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295。
自治系統號支援按照兩段位的格式進行輸入,即:前16位位元.後16位位元。每個段位使用十進位輸入。
例如輸入123.456,則表示自治系統號:123*65536+456=8061384。
說明建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。
Tunnel配置
雙隧道模式下,需要分別配置Tunnel 1和Tunnel 2,使其均為可用狀態。如果您僅配置或僅使用了其中1條隧道,則無法體驗IPsec-VPN串連鏈路冗餘能力以及可用性區域層級的容災能力。
配置
說明
使用者網關
選擇隧道待關聯的使用者網關。
預先共用金鑰
輸入隧道的認證密鑰,用於隧道與隧道對端之間的身份認證。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過隧道的編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改隧道的配置。
重要隧道及隧道對端的預先共用金鑰需一致,否則系統無法正常建立隧道。
加密配置
配置
說明
加密配置:IKE配置
版本
選擇IKE協議的版本。
ikev1
ikev2(預設值)
相對於IKEv1版本,IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援,推薦選擇IKEv2版本。
協商模式
選擇協商模式。
main(預設值):主模式,協商過程安全性高。
aggressive:野蠻模式,協商快速且協商成功率高。
協商成功後兩種模式的資訊傳輸安全性相同。
密碼編譯演算法
選擇第一階段協商使用的密碼編譯演算法。
密碼編譯演算法支援aes(aes128,預設值)、aes192、aes256、des和3des。
說明推薦使用aes、aes192、aes256密碼編譯演算法,不推薦使用des、3des密碼編譯演算法。
aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。
3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。
認證演算法
選擇第一階段協商使用的認證演算法。
認證演算法支援sha1(預設值)、md5、sha256、sha384和sha512。
說明在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。
DH分組
選擇第一階段協商的Diffie-Hellman金鑰交換演算法。
group1:表示DH分組中的DH1。
group2(預設值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設定第一階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400。
LocalId
輸入隧道本端的標識符,用於第一階段的協商。預設值為隧道的網關IP地址。
該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。
如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
RemoteId
輸入隧道對端的標識符,用於第一階段的協商。預設值使用隧道關聯的使用者網關中的IP地址作為隧道對端標識符。
該參數僅作為標識符用於在IPsec-VPN串連協商中標識本地網關裝置,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。
如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
加密配置:IPsec配置
密碼編譯演算法
選擇第二階段協商的密碼編譯演算法。
密碼編譯演算法支援aes(aes128,預設值)、aes192、aes256、des和3des。
說明推薦使用aes、aes192、aes256密碼編譯演算法,不推薦使用des、3des密碼編譯演算法。
aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。
3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。
認證演算法
選擇第二階段協商的認證演算法。
認證演算法支援sha1(預設值)、md5、sha256、sha384和sha512。
DH分組
選擇第二階段協商的Diffie-Hellman金鑰交換演算法。
disabled:表示不使用DH金鑰交換演算法。
如果隧道對端的本地網關裝置不支援PFS,請選擇disabled。
如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的隧道對端的本地網關裝置也要開啟PFS功能。
group1:表示DH分組中的DH1。
group2(預設值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設定第二階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400。
DPD
選擇開啟或關閉對等體存活檢測DPD(Dead Peer Detection)功能。DPD功能預設開啟。
開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。DPD報文的逾時時間為30秒。
NAT穿越
選擇開啟或關閉NAT(Network Address Translation)穿越功能。NAT穿越功能預設開啟。
開啟NAT穿越功能後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能幫您發現加密通訊通道中的NAT Gateway裝置。
BGP配置
如果您已經開啟了IPsec串連的BGP功能,您可以根據以下資訊指定BGP隧道網段以及阿里雲側BGP隧道IP地址。如果您未開啟IPsec串連的BGP功能,您可以在建立IPsec串連後單獨為隧道開啟BGP功能並添加相應配置。具體操作,請參見單獨為隧道開啟BGP功能。
配置項
說明
隧道網段
輸入隧道網段。
隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
說明一個IPsec串連下兩條隧道的隧道網段不能相同。
本端BGP地址
輸入隧道本端的BGP IP地址。
該地址為隧道網段內的一個IP地址。
進階配置
建立VPN串連時,系統預設幫您選中以下三種進階功能。
配置項
說明
自動發布路由
開啟本功能後,系統會將轉寄路由器路由表(指IPsec串連關聯的轉寄路由器路由表)中的路由條目自動傳播至IPsec串連的BGP路由表中。
說明在IPsec串連和本機資料中心之間運行BGP動態路由協議的情況下,本功能才會生效。
後續您也可以通過自動發布路由功能關閉該功能。具體操作,請參見關閉路由同步。
自動關聯至轉寄路由器的預設路由表
開啟本功能後,IPsec串連會關聯至轉寄路由器的預設路由表,轉寄路由器會通過查詢預設路由錶轉發來自IPsec串連的流量。
自動傳播系統路由至轉寄路由器的預設路由表
開啟本功能後,系統會將IPsec串連目的路由表和BGP路由表中的路由傳播至轉寄路由器的預設路由表中。
您也可以取消選中以上進階功能,後續通過轉寄路由器的多個路由功能自訂網路連通性。具體操作,請參見路由管理。
標籤
建立IPsec串連時支援為IPsec串連添加標籤,您可以通過標籤對IPsec串連進行標記和分類,便於資源的搜尋和彙總。更多資訊,請參見標籤。
配置項
說明
標籤鍵
為IPsec串連添加標籤鍵,支援選擇已有標籤鍵或輸入新的標籤鍵。
標籤值
為IPsec串連添加標籤值,支援選擇已有標籤值或輸入新的標籤值。標籤值可以為空白。
單隧道模式
IIPsec-VPN串連已升級為雙隧道模式,您可以參考如下說明管理、修改存量的單隧道模式的IPsec-VPN串連。
基本配置
配置項
說明
執行個體類型
選擇虛擬私人網路(VPN)。
地區
選擇轉寄路由器所屬的地區。
轉寄路由器
系統自動顯示當前地區下已建立的轉寄路由器執行個體。
資源歸屬UID
選擇IPsec串連所屬的帳號類型。
轉寄路由器支援串連同帳號和跨帳號的IPsec串連:
如果IPsec串連與轉寄路由器執行個體屬於同一個阿里雲帳號,請選擇同帳號。
如果IPsec串連與轉寄路由器執行個體屬於不同的阿里雲帳號,請選擇跨帳號,並輸入IPsec串連所屬的阿里雲帳號(主帳號)ID。
單項資源
選擇IPsec串連的類型。取值:
建立資源:表示轉寄路由器串連新建立的IPsec串連。
VPN串連建立完成後,系統將會新建立一個IPsec串連並與轉寄路由器綁定。您可以在VPN網關管理主控台通過編輯按鈕查看新建立的IPsec串連的資訊。具體操作,請參見修改IPsec串連。
現有資源:表示轉寄路由器串連已建立的IPsec串連。
串連名稱
輸入VPN串連的名稱。
标签
為VPN串連設定標籤。
標籤鍵:不允許為空白字串。最多支援64個字元,不能以
aliyun和acs:開頭,不能包含http://或者https://。標籤值:可以為空白字串。最多支援128個字元,不能以
aliyun和acs:開頭,不能包含http://或者https://。
支援為VPN串連添加多個標籤。關於標籤的更多資訊,請參見標籤。
網關類型
選擇IPsec串連的網路類型。取值:
公網(預設值):表示IPsec串連通過公網建立加密通訊通道。
私網:表示IPsec串連通過私網建立加密通訊通道。
可用性區域
選擇可用性區域。
系統將在您選擇的可用性區域下建立資源。
使用者網關
選擇IPsec串連的使用者網關。
路由模式
選擇IPsec串連的路由模式。取值:
目的路由模式(預設值):基於目的IP地址路由和轉寄流量。
感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。
選擇感興趣流模式後,您需要配置本端網段和對端網段。VPN串連配置完成後,系統自動在IPsec串連下的目的路由表中添加目的路由,目的路由預設會被發布至IPsec串連關聯的轉寄路由器的路由表中。
立即生效
選擇IPsec串連的配置是否立即生效。 取值:
是:配置完成後系統立即進行IPsec協議協商。
否(預設值):當有流量進入時系統才進行IPsec協議協商。
預先共用金鑰
輸入IPsec串連的認證密鑰,用於阿里雲側與本機資料中心之間的身份認證。
密鑰長度為1~100個字元。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。
建立VPN串連後,您可以在VPN網關管理主控台通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec串連。
重要IPsec串連側和本機資料中心側配置的預先共用金鑰需一致,否則系統無法正常建立IPsec串連。
加密配置
配置
說明
IKE配置
版本
選擇IKE協議的版本。取值:
ikev1
ikev2(預設值)
目前系統支援IKEv1和IKEv2,相對於IKEv1版本,IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援,所以建議選擇IKEv2版本。
協商模式
選擇協商模式。 取值:
main(預設值):主模式,協商過程安全性高。
aggressive:野蠻模式,協商快速且協商成功率高。
協商成功後兩種模式的資訊傳輸安全性相同。
密碼編譯演算法
選擇第一階段協商使用的密碼編譯演算法。
密碼編譯演算法支援aes(aes128,預設值)、aes192、aes256、des和3des。
認證演算法
選擇第一階段協商使用的認證演算法。
認證演算法支援sha1(預設值)、md5、sha256、sha384和sha512。
DH分組
選擇第一階段協商的Diffie-Hellman金鑰交換演算法。取值:
group1:表示DH分組中的DH1。
group2(預設值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設定第一階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400。
LocalId
輸入IPsec串連阿里雲側的標識,用於第一階段的協商。預設值為IPsec串連的網關IP地址。
LocalId支援FQDN格式,如果您使用FQDN格式,協商模式建議選擇為野蠻模式(aggressive)。
RemoteId
輸入本機資料中心側的標識,用於第一階段的協商。預設值為使用者網關的IP地址。
RemoteId支援FQDN格式,如果您使用FQDN格式,協商模式建議選擇為野蠻模式(aggressive)。
IPsec配置
密碼編譯演算法
選擇第二階段協商的密碼編譯演算法。
密碼編譯演算法支援aes(aes128,預設值)、aes192、aes256、des和3des。
認證演算法
選擇第二階段協商的認證演算法。
認證演算法支援sha1(預設值)、md5、sha256、sha384和sha512。
DH分組
選擇第二階段協商的Diffie-Hellman金鑰交換演算法。取值:
disabled:表示不使用DH金鑰交換演算法。
對於不支援PFS的用戶端請選擇disabled。
如果選擇為非disabled的任何一個組,會預設開啟PFS功能(完美向前加密),使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。
group1:表示DH分組中的DH1。
group2(預設值):表示DH分組中的DH2。
group5:表示DH分組中的DH5。
group14:表示DH分組中的DH14。
SA生存周期(秒)
設定第二階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400。
DPD
選擇開啟或關閉對等體存活檢測DPD(Dead Peer Detection)功能。DPD功能預設開啟。
開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。DPD報文的逾時時間為30秒。
NAT穿越
選擇開啟或關閉NAT(Network Address Translation)穿越功能。
開啟NAT穿越功能後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能幫您發現加密通訊通道中的NAT Gateway裝置。系統預設開啟該功能。
BGP配置
開啟BGP(Border Gateway Protocol)功能後,IPsec串連將通過BGP動態路由協議自動學習和發布路由,可以幫您降低網路維護成本和網路設定風險。
系統預設關閉BGP功能,在添加BGP配置前,請先開啟BGP功能。
配置項
說明
隧道網段
輸入IPsec隧道的網段。
隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
本端BGP地址
輸入IPsec串連阿里雲側的BGP IP地址。
該地址為隧道網段內的一個IP地址。
本端自治系統號
輸入IPsec串連阿里雲側的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295。
自治系統號支援按照兩段位的格式進行輸入,即:前16位位元.後16位位元。每個段位使用十進位輸入。
例如輸入123.456,則表示自治系統號:123*65536+456=8061384。
說明建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。
健全狀態檢查
開啟健全狀態檢查功能後,系統將自動檢測IPsec串連下本機資料中心和阿里雲側的網路連通性,並依據健全狀態檢查結果自動切換路由,協助您提高網路的高可用性。
系統預設關閉該功能。在添加健全狀態檢查配置前,請先開啟健全狀態檢查功能。
重要配置健全狀態檢查功能後,請在本機資料中心側添加一條目標網段為源IP,子網路遮罩為32位,下一跳指向IPsec串連的路由條目,以確保健全狀態檢查功能正常工作。
配置項
說明
目標IP
輸入阿里雲側通過IPsec串連可以訪問的本機資料中心的IP地址。
源IP
輸入本機資料中心通過IPsec串連可以訪問的阿里雲側的IP地址。
稍候再試
選擇健全狀態檢查的稍候再試時間,單位:秒。預設值:3。
重試次數
選擇健全狀態檢查的重試次數。預設值:3。
切換路由
選擇健全狀態檢查失敗後是否允許系統撤銷發行的路由。預設值:是,即健全狀態檢查失敗後,允許系統撤銷發行的路由。
如果您取消選中是,則健全狀態檢查失敗後,系統不會撤銷發行的路由。
進階配置
建立VPN串連時,系統預設幫您選中以下三種進階功能。
配置項
說明
自動發布路由到VPN
開啟本功能後,VPN串連會將轉寄路由器路由表中的路由條目自動傳播至IPsec串連的BGP路由表中。
說明在IPsec串連和本機資料中心之間運行BGP動態路由協議的情況下,本功能才會生效。
後續您也可以通過自動發布路由功能關閉該功能。具體操作,請參見關閉路由同步。
自動關聯至轉寄路由器的預設路由表
開啟本功能後,VPN串連會關聯至轉寄路由器的預設路由表,轉寄路由器會通過查詢預設路由錶轉發來自IPsec串連的流量。
自動傳播系統路由至轉寄路由器的預設路由表
開啟本功能後,VPN串連會將IPsec串連目的路由表和BGP路由表中的路由傳播至轉寄路由器的預設路由表中。
您可以取消選中以上進階功能,後續通過轉寄路由器的關聯轉寄、路由學習等路由功能自訂VPN串連的連通性。具體操作,請參見路由管理。
修改VPN串連關聯的轉寄路由器路由表
建立VPN串連後,您可以修改VPN串連關聯的轉寄路由器路由表。
如果VPN串連已開啟路由同步功能,則VPN串連修改關聯的轉寄路由器路由表後,系統會撤銷之前已向IPsec串連同步的路由,重新將修改後的轉寄路由器路由表中的路由同步至IPsec串連的BGP路由表中。關於路由同步的更多資訊,請參見路由同步。
登入雲企業網管理主控台。
在云企业网实例頁面,找到目標雲企業網執行個體,單擊目標執行個體ID。
在頁簽,單擊目標地區的轉寄路由器執行個體ID。
在地區內串連管理頁簽,找到VPN串連,單擊VPN串連ID。
在串連詳情面板的串連基本資料地區,單擊關聯路由表右側的修改。
在編輯關聯路由表對話方塊,選擇目標轉寄路由器路由表,然後單擊確定。
通過調用API建立VPN串連
支援通過阿里雲 SDK(推薦)、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API建立和修改VPN串連。相關API說明,請參見:
CreateTransitRouterVpnAttachment:建立VPN串連。
UpdateTransitRouterVpnAttachmentAttribute:修改VPN串連的配置。
ReplaceTransitRouterRouteTableAssociation:更換網路執行個體串連關聯的轉寄路由器路由表。