ModifyTunnelAttribute - VPN Gateway

呼叫ModifyTunnelAttribute介面修改高可用VPN的隧道配置資訊。

調試

您可以在OpenAPI Explorer中直接運行該介面，免去您計算簽名的困擾。運行成功後，OpenAPI Explorer可以自動產生SDK程式碼範例。

調試

授權資訊

下表是API對應的授權資訊，可以在RAM權限原則語句的Action元素中使用，用來給RAM使用者或RAM角色授予調用此API的許可權。具體說明如下：

操作：是指具體的許可權點。
存取層級：是指每個操作的存取層級，取值為寫入（Write）、讀取（Read）或列出（List）。
資源類型：是指操作中支援授權的資源類型。具體說明如下：
- 對於必選的資源類型，用前面加 * 表示。
- 對於不支援資源級授權的操作，用全部資源表示。
條件關鍵字：是指雲產品自身定義的條件關鍵字。
關聯操作：是指成功執行操作所需要的其他許可權。操作者必須同時具備關聯操作的許可權，操作才能成功。

操作

存取層級

資源類型

條件關鍵字

關聯操作

vpc:ModifyTunnelAttribute

update

*VpnConnection

acs:vpc:{#regionId}:{#accountId}:vpnconnection/{#VpnConnectionId}

無

請求參數

名稱	類型	必填	描述	樣本值
ClientToken	string	否	用戶端 Token，用於保證請求的冪等性。從您的用戶端產生一個參數值，確保不同請求間該參數值唯一。ClientToken 只支援 ASCII 字元。說明若您未指定，則系統自動使用 API 請求的 RequestId 作為 ClientToken 標識。每次 API 請求的 RequestId 不一樣。	02fb3da4-130e-11e9-8e44-0016e04115b
TunnelOptionsSpecification	object	否	修改隧道的配置。
EnableDpd	boolean	否	是否開啟 DPD（對等體存活檢測）功能。取值： true：開啟 DPD 功能。隧道發起端會傳送 DPD 報文用來檢測對端的裝置是否存活，如果在設定時間內未收到正確回應則認為對端已經斷線，隧道將刪除 ISAKMP SA 和相應的 IPsec SA，隧道同樣也會被刪除。 false：不開啟 DPD 功能，隧道發起端不會傳送 DPD 探測報文。	true
EnableNatTraversal	boolean	否	是否開啟 NAT 穿越功能。取值： true：開啟 NAT 穿越功能。開啟後，IKE 協商過程會刪除對 UDP 連接埠號的驗證過程，同時實現對 VPN 隧道中 NAT 閘道裝置的發現功能。 false：不開啟 NAT 穿越功能。	true
RemoteCaCertificate	string	否	在國密型 VPN 閘道下使用 IPsec 連線時，對端的 CA 憑證。	-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----
TunnelBgpConfig	object	否	修改隧道的 BGP 配置。如果隧道之前並未開啟 BGP 功能，您需要呼叫 ModifyVpnConnectionAttribute 介面為隧道開啟 BGP 功能並新增 BGP 配置。
LocalAsn	integer	否	隧道本端自治系統號。自治系統號取值範圍：1~4294967295。	65530
LocalBgpIp	string	否	隧道本端的 BGP IP 位址。該位址需是 TunnelCidr 內的一個 IP 位址。	169.254.11.1
TunnelCidr	string	否	隧道本端 BGP IP 位址所屬網段。該網段需是一個在 169.254.0.0/16 內的遮罩長度為 30 的網段，且不能是 169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30 和 169.254.169.252/30。說明一個 VPN 閘道執行個體下每個 IPsec 連線的 IPsec 隧道網段需保持唯一。	169.254.11.0/30
TunnelIkeConfig	object	否	修改隧道 IKE 階段（第一階段）配置。
IkeAuthAlg	string	否	第一階段協商的認證演算法。取值為：md5、sha1、sha256、sha384 或 sha512 。	sha1
IkeEncAlg	string	否	第一階段協商的加密演算法。取值為：aes、aes192、aes256、des 或 3des。。	aes
IkeLifetime	integer	否	第一階段協商出的 SA 的生存週期。單位：秒。取值範圍：0~86400。	86400
IkeMode	string	否	IKE 版本的協商模式。取值： main：主模式，協商過程安全性高。 aggressive：野蠻模式，協商快速且協商成功率高。	main
IkePfs	string	否	第一階段協商使用的 Diffie-Hellman 金鑰交換演算法。取值：group1、group2、group5、group14。	group2
IkeVersion	string	否	IKE 協定的版本。取值：ikev1 或 ikev2。	ikev2
LocalId	string	否	隧道本端的標識。長度限制為 100 個字元，，不能包含空格，支援 FQDN 和 IP 格式。預設值為隧道的 IP 位址。	47.XX.XX.87
Psk	string	否	預共用金鑰，用於隧道及對端之間的身份認證。金鑰長度為 1~100 個字元，支援數字、大小寫英文字母以及右側字元，不能包含空格。~!`@#$%^&*()_-+={}[]\|;:',.<>/? 若您未指定預共用金鑰，系統會隨機產生一個 16 位的字串作為預共用金鑰。您可以呼叫 DescribeVpnConnection 介面查詢系統自動產生的預共用金鑰。說明隧道及隧道對端配置的預共用金鑰必須一致，否則系統無法成功建立隧道。	123456****
RemoteId	string	否	隧道對端的標識。長度限制為 100 個字元，不能包含空格，支援 FQDN 和 IP 格式。預設值為隧道關聯的使用者閘道執行個體的 IP 位址。	47.XX.XX.207
TunnelIpsecConfig	object	否	修改隧道 IPsec 階段（第二階段）的配置。
IpsecAuthAlg	string	否	第二階段協商的認證演算法。取值為：md5、sha1、sha256、sha384 或 sha512。。	sha1
IpsecEncAlg	string	否	第二階段協商的加密演算法。取值為：aes、aes192、aes256、des 或 3des。。	aes
IpsecLifetime	integer	否	第二階段協商出的 SA 的生存週期。單位：秒。取值範圍：0~86400。	86400
IpsecPfs	string	否	第二階段協商使用的 Diffie-Hellman 金鑰交換演算法。取值：disabled、group1、group2、group5、group14。	group2
CustomerGatewayId	string	否	隧道關聯的使用者閘道執行個體 ID。	cgw-1nmwbpgrp7ssqm1yn****
RegionId	string	否	IPsec 連線所屬的地域 ID。您可以透過呼叫 DescribeRegions 介面取得地域 ID。	cn-hangzhou
VpnConnectionId	string	是	IPsec 連線 ID。	vco-gw69vm1i71y354****
TunnelId	string	是	隧道 ID。	tun-gbyz2e070xzo93****

返回參數

名稱	類型	描述	樣本值
	object	返回結果。
TunnelId	string	隧道 ID。	tun-gbyz2e070xzo93****
RequestId	string	請求 ID。	E6F36FF0-9544-3AEE-8673-A4647D50064C
TunnelIkeConfig	object	隧道 IKE 階段（第一階段）配置。
IkeAuthAlg	string	IKE 認證演算法。	sha1
IkeEncAlg	string	IKE 加密演算法。	aes
IkeLifetime	integer	IKE 生存時間。單位：秒。	86400
IkeMode	string	IKE 協商模式。 main：主模式，協商過程安全性高。 aggressive：野蠻模式，協商快速且協商成功率高。	main
IkePfs	string	DH 分組。	group2
IkeVersion	string	IKE 協定版本。 ikev1 ikev2 相對於 IKEv1 版本，IKEv2 版本簡化了 SA 的協商過程並且對於多網段的場景提供了更好的支援。	ikev2
LocalId	string	隧道本端的標識。支援 FQDN 和 IP 格式，預設值為當前隧道的 IP 位址。	47.XX.XX.87
Psk	string	預共用金鑰。	123456****
RemoteId	string	隧道對端的標識。支援 FQDN 和 IP 格式，預設值為隧道關聯的使用者閘道執行個體的 IP 位址。	47.XX.XX.207
TunnelIpsecConfig	object	隧道 IPsec 階段（第二階段）的配置。
IpsecAuthAlg	string	IPsec 認證演算法。	sha1
IpsecEncAlg	string	IPsec 加密演算法。	aes
IpsecLifetime	integer	IPsec 生存時間。單位：秒。	86400
IpsecPfs	string	DH 分組。	group2
TunnelBgpConfig	object	隧道的 BGP 配置資訊。
EnableBgp	boolean	BGP 的開啟狀態。 true：已開啟。 false：未開啟。	true
LocalAsn	integer	隧道本端的自治系統號。	65530
LocalBgpIp	string	隧道本端的 BGP IP 位址。	169.254.11.1
PeerAsn	integer	隧道對端的自治系統號。	65531
PeerBgpIp	string	隧道對端的 BGP IP 位址。	169.254.11.2
TunnelCidr	string	隧道 BGP IP 位址所屬網段。	169.254.11.0/30
EnableNatTraversal	boolean	是否已開啟 NAT 穿越功能。取值： false：未開啟。 true：已開啟。	true
EnableDpd	boolean	是否已開啟 DPD（對等體存活檢測）功能。 false：未開啟。 true：已開啟。	true
RemoteCaCertificate	string	國密型 VPN 閘道建立 IPsec 連線時，對端的 CA 憑證。	-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----
CustomerGatewayId	string	隧道關聯的使用者閘道執行個體 ID。	cgw-p0wx48ayhrygitm80****
Role	string	隧道的角色。 master：表示主隧道。 slave：表示備隧道。	master
ZoneNo	string	隧道所屬的可用區。	cn-hangzhou-h
InternetIp	string	隧道的 IP 位址。	47.XX.XX.87
State	string	隧道的狀態。 active：表示隧道狀態可用。 updating：表示隧道正在更新中。 deleting：表示隧道正在刪除中。	active

樣本

正常返回樣本

JSON格式

{
  "TunnelId": "tun-gbyz2e070xzo93****",
  "RequestId": "E6F36FF0-9544-3AEE-8673-A4647D50064C",
  "TunnelIkeConfig": {
    "IkeAuthAlg": "sha1",
    "IkeEncAlg": "aes",
    "IkeLifetime": 86400,
    "IkeMode": "main",
    "IkePfs": "group2",
    "IkeVersion": "ikev2",
    "LocalId": "47.XX.XX.87",
    "Psk": "123456****",
    "RemoteId": "47.XX.XX.207"
  },
  "TunnelIpsecConfig": {
    "IpsecAuthAlg": "sha1",
    "IpsecEncAlg": "aes",
    "IpsecLifetime": 86400,
    "IpsecPfs": "group2"
  },
  "TunnelBgpConfig": {
    "EnableBgp": true,
    "LocalAsn": 65530,
    "LocalBgpIp": "169.254.11.1",
    "PeerAsn": 65531,
    "PeerBgpIp": "169.254.11.2",
    "TunnelCidr": "169.254.11.0/30"
  },
  "EnableNatTraversal": true,
  "EnableDpd": true,
  "RemoteCaCertificate": "-----BEGIN CERTIFICATE----- MIIB7zCCAZW**** -----END CERTIFICATE-----",
  "CustomerGatewayId": "cgw-p0wx48ayhrygitm80****",
  "Role": "master",
  "ZoneNo": "cn-hangzhou-h",
  "InternetIp": "47.XX.XX.87",
  "State": "active"
}

錯誤碼

HTTP status code	錯誤碼	錯誤資訊
400	VpnGateway.Configuring	The specified service is configuring.
400	VpnGateway.FinancialLocked	The specified service is financial locked.
400	InvalidName	The name is not valid
400	VpnRouteEntry.AlreadyExists	The specified route entry is already exist.
400	VpnRouteEntry.Conflict	The specified route entry has conflict.
400	NotSupportVpnConnectionParameter.IpsecPfs	The specified vpn connection ipsec Ipsec Pfs is not support.
400	NotSupportVpnConnectionParameter.IpsecAuthAlg	The specified vpn connection ipsec Auth Alg is not support.
400	VpnConnectionParamInvalid.SameVpnAndCgwDifferentIkeConfigs	IPSec connections associated with the same user gateway and VPN gateway should have the same pre-shared key and IKE configuration.
400	VpnConnectionParamInvalid.SameVpnAndCgwTrafficSelectorOverlap	Traffic selectors of IPSec connections associated with the same user gateway and VPN gateway should not overlap.
400	IllegalParam.LocalAsn	The param of LocalAsn is illegal
400	IllegalParam.LocalBgpIp	The specified LocalBgpIp is invalid.
400	VpnGateway.task.conflict	The VPN is in the configuration state, please wait a while before operating.
400	ModifyIkeV1WithMultiRoutes.Invalid	Failed to modify VPN connection parameters. Multi-network is configured while using IkeV1 protocol.
400	EncAlgInvalid.DesIncompatible	Des/3des in IkeEncAlg and IpsecEncAlg does not support multi algorithm.
400	IkeVersionInvalid.GcmIncompatible	Ikev1 does not support IkeEncAlg of gcm16.
400	CustomerGateway.ConflictVpnIp	The specified customer gateway has conflict with vpn gateway ip.
403	Forbbiden.SubUser	User not authorized to operate on the specified resource as your account is created by another user.
403	Forbidden	User not authorized to operate on the specified resource.
404	InvalidVpnConnectionInstanceId.NotFound	The specified vpn connection instance id does not exist.

訪問錯誤中心查看更多錯誤碼。

變更歷史

更多資訊，參考變更詳情。