全部產品
Search

搜尋本產品

    VPN Gateway:IPsec串連(VPN網關-雙隧道模式)

    文件中心

    VPN Gateway:IPsec串連(VPN網關-雙隧道模式)

    更新時間:Sep 23, 2025

    建立VPN網關後,還需在分別在阿里雲側和本地IDC側配置IPsec串連,才能實現本機資料中心與VPC互連。

    工作原理

    阿里雲側的IPsec串連預設為雙隧道模式,即包含一條主隧道和一條備用隧道。當主隧道因網路抖動或裝置故障中斷時,流量會自動切換至備用隧道,從而保障業務的連續性和網路的高可用性。

    • 隧道角色:系統利用 VPN 閘道的兩個不同公網 IP 位址,分別建立兩條隧道。

      • 隧道 1(使用 IP 位址 1)預設為主隧道,承載所有業務流量;

      • 隧道 2(使用 IP 位址 2)為備用隧道,處於待命狀態。

      隧道的主備角色是固定的,無法更改。

    • 健全狀態檢查與故障切換:系統自動檢測主隧道的連通性。當檢測到主隧道中斷後,VPN 閘道會自動將流量切換到備用隧道。待主隧道恢複後,流量將自動切回。

    • 可用性區域容災:IPsec串連的兩條隧道預設部署在不同的可用性區域。當其中一個可用性區域發生故障時,另一可用性區域的隧道仍然可用,從而提供跨可用性區域的容災能力。對於僅支援一個可用性區域的地區,兩條隧道會被部署在同一個可用性區域,不支援可用性區域層級的容災,但依舊擁有鏈路冗餘能力。

    建立IPsec串連

    1. 配置IPsec串連

    建立IPsec串連前,請確保已建立VPN網關執行個體使用者網關執行個體

    控制台

    前往VPN控制台IPsec串連頁面,單擊綁定VPN網關,在建立IPsec串連(VPN)頁面進行配置:

    IPsec配置

    • 選擇要綁定的VPN網關所屬地區和對應執行個體

    • 路由模式

      • 目的路由模式(預設值):基於目的IP地址轉寄流量。適用於通過 BGP 動態學習路由或在 VPN 閘道配置靜態路由的情境,配置簡單。

      • 感興趣流模式:基於源和目的 IP 位址轉寄流量,適用於僅希望特定網段之間互連的複雜網路情境。選擇此模式後,需配置本端網段(VPC 內需要通訊的網段)和對端網段(本機資料中心需要通訊的網段)。

        IPsec串連配置完成後,系統會自動產生策略路由源網段為IPsec串連本端網段目標網段為IPsec串連對端網段,下一跳指向IPsec串連,可選發布到VPC路由表(預設不發布)。

        • 在本地網關裝置配置感興趣流時,應確保所用網段與阿里雲端保持一致,並將兩端網段對調。

        • 可通過單擊文字框右側的添加表徵圖添加多個網段,配置多個網段時,後續IKE協議的版本需要選擇ikev2

    • 立即生效:如果需要快速啟用或避免流量延遲,推薦選擇“是”;如果希望節省資源且流量不頻繁,可選擇“否”。

    隧道配置
    重要

    建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力。

    • 啟用BGP:決定是否使用 BGP動態路由

      • 關閉(預設):使用靜態路由,適用於網路拓撲簡單的情境。

      • 開啟:適用於網路拓撲複雜、需要自動分發和學習路由的情境。前提:關聯的使用者網關必須已配置 ASN。

    • 本端自治系統號:啟用BGP後,阿里雲側的ASN號。兩條隧道使用相同的自治系統號,預設值:45104,取值範圍:1~4294967295。對端雲下裝置配置自治系統號時,建議使用私人 ASN 號。

    Tunnel 1(主隧道)和Tunnel 2 (備隧道)配置:

    • 使用者網關:選擇代表您本地網關裝置的使用者網關執行個體。兩條隧道可以關聯同一個使用者網關。

    • 預先共用金鑰:用於身份認證的密鑰,兩條隧道的密鑰必須與本地網關裝置上的配置完全一致。若不填則由系統隨機產生。

    單擊查看加密配置

    • IKE配置

      • 版本:推薦使用ikev2。IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援。

      • 協商模式

        • main(預設值):主模式。此模式加密傳輸身份資訊,協商過程安全性比aggressive高。

        • aggressive:野蠻模式,協商快速且協商成功率高。

        協商成功後兩種模式的資訊傳輸安全性相同。

      • 密碼編譯演算法:第一階段協商使用的密碼編譯演算法,必須與本地網關裝置一致。

        密碼編譯演算法支援aes(aes128,預設值)、aes192aes256des3des

        VPN網關執行個體的頻寬規格為200 Mbps及以上時,推薦使用aesaes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

        • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

        • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      • 認證演算法:第一階段協商使用的認證演算法,必須與本地網關裝置一致。

        認證演算法支援sha1(預設值)、md5sha256sha384sha512

        在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。

      • DH分組(完美向前加密 PFS):選擇第一階段協商的Diffie-Hellman金鑰交換演算法。

        • group1:表示DH分組中的DH1。

        • group2(預設值):表示DH分組中的DH2。

        • group5:表示DH分組中的DH5。

        • group14:表示DH分組中的DH14。

      • SA生存周期(秒):設定第一階段協商出的SA(Security Association,安全性關聯)的生存周期。預設值:86400。取值範圍:0~86400

      • LocalId:隧道本端的標識符。預設使用隧道的IP地址作為隧道本端標識符。

        該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。

        如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

      • RemoteId:隧道對端的標識符。預設值使用隧道關聯的使用者網關中的IP地址作為隧道對端標識符。

        該參數僅作為標識符用於在IPsec-VPN串連協商中標識本地網關裝置,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。

        如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    • IPsec配置

      • 密碼編譯演算法:第二階段協商的密碼編譯演算法。

        密碼編譯演算法支援aes(aes128,預設值)、aes192aes256des3des

        VPN網關執行個體的頻寬規格為200 Mbps及以上時,推薦使用aesaes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

        • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

        • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      • 認證演算法:第二階段協商的認證演算法。

        認證演算法支援sha1(預設值)、md5sha256sha384sha512

      • DH分組(完美向前加密 PFS):第二階段協商的Diffie-Hellman金鑰交換演算法。

        • disabled:表示不使用DH金鑰交換演算法。

          • 對於不支援PFS的用戶端請選擇disabled

          • 如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。

        • group1:表示DH分組中的DH1。

        • group2(預設值):表示DH分組中的DH2。

        • group5:表示DH分組中的DH5。

        • group14:表示DH分組中的DH14。

      • SA生存周期(秒):設定第二階段協商出的SA的生存周期。預設值:86400。取值範圍:0~86400

      • DPD:對等體存活檢測,建議始終開啟(預設)。它能及時發現對端故障並觸發切換,是實現高可用的關鍵。

        開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。DPD報文的逾時時間為30秒。

        IPsec串連使用IKEv2版本的情境下,對於部分存量VPN網關執行個體,DPD逾時時間可能為130秒或3600秒,此時可將VPN網關執行個體升級為最新版。

      • NAT穿越:建議保持預設開啟。開啟後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能發現加密通訊通道中的NAT Gateway裝置。

    BGP配置(可選)

    如果已開啟BGP功能,需在每條隧道下完成BGP配置

    確認配置

    1. 仔細檢查配置,確認無誤後單擊頁面底部的確定

    2. 在彈出的“是否要配置VPN網關路由”對話方塊中,單擊取消,後續再進行路由配置。

    3. 在目標IPsec串連,在操作列單擊產生對端配置,在IPsec串連配置對話方塊複製配置並儲存到您本地,以便用於配置本地網關裝置。

    API

    調用CreateVpnConnection建立IPsec串連。

    2. 配置VPN網關和VPC路由

    根據配置VPN網關路由進行配置。

    3. 配置本地網關裝置

    根據在“配置IPsec串連”步驟中下載的對端配置,在本機資料中心的網關裝置(如防火牆或路由器)上完成 IPsec 和 BGP(如果啟用)的配置。具體配置方法請參考相應裝置的廠商文檔,樣本:配置本地網關裝置

    管理IPsec串連

    開啟/關閉BGP

    在為IPsec串連開啟BGP功能前,請確保IPsec串連關聯的使用者網關執行個體已經配置了自治系統號。若未配置,需刪除重建IPsec串連,並為IPsec串連關聯已配置有自治系統號的使用者網關執行個體。

    與IPsec串連相關的BGP配置項:

    • 本端自治系統號:啟用BGP後,阿里雲側的ASN號。兩條隧道使用相同的自治系統號,預設值:45104,取值範圍:1~4294967295。對端雲下裝置配置自治系統號時,建議使用私人 ASN 號。

    • 隧道網段:用於 BGP 鄰居建立串連的互聯位址區段。一個VPN網關執行個體下,每個隧道的網段需保持唯一。需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

    • 本端BGP地址:阿里雲側的 BGP IP,必須屬於隧道網段。例如,在 169.254.10.0/30 網段中,可使用 169.254.10.1

    關於BGP路由功能支援狀態、路由宣告原則、使用限制,請查看配置BGP動態路由

    控制台

    開啟BGP

    • 建立IPsec串連時,可啟用BGP,並配置本端自治系統號隧道網段本端BGP地址,直接開啟BGP功能。

    • 針對已建立的IPsec串連,可在IPsec串連執行個體詳情頁面的IPsec串連基本資料地區,啟用BGP

    關閉BGP

    在IPsec串連執行個體詳情頁面的IPsec串連基本資料地區,關閉啟用BGP

    API

    • 新建立IPsec串連時,調整CreateVpnConnectionEnableTunnelsBgp參數開啟BGP並調整TunnelOptionsSpecification -> TunnelBgpConfig 參數來配置每個隧道的BGP選項。

    • 針對已建立的IPsec串連,調整ModifyVpnConnectionAttributeEnableTunnelsBgp參數開啟/關閉BGP通過調整TunnelOptionsSpecification -> TunnelBgpConfig 參數來配置每個隧道的BGP選項。

    修改隧道的配置

    控制台

    1. 前往VPC控制台IPsec串連頁面,切換到目標地區並單擊目標IPsec串連ID。

    2. 在IPsec串連執行個體詳情頁面,找到目標隧道,在操作列單擊編輯

    3. 在編輯頁面,修改隧道的配置,然後單擊確定

      隧道下各個配置項的說明,請參見隧道和加密配置

    API

    調用ModifyTunnelAttribute修改隧道配置。

    修改IPsec串連的配置

    在IPsec串連已綁定了VPN網關執行個體的情境下,不支援修改IPsec串連關聯的VPN網關執行個體,僅支援修改IPsec串連路由模式立即生效的配置。

    控制台

    1. 前往VPC控制台IPsec串連頁面,切換到目標地區並在目標IPsec串連的操作列單擊編輯

    2. 編輯IPsec串連頁面,修改IPsec串連的名稱、互連網段等配置,然後單擊確定

      參數的詳細說明詳見建立IPsec串連

    API

    調用ModifyVpnConnectionAttribute修改IPsec串連的配置。

    刪除IPsec串連

    控制台

    1. 前往VPC控制台IPsec串連頁面,切換到目標地區並在目標IPsec串連的操作列單擊刪除

    2. 在彈出的對話方塊中,確認資訊,然後單擊確定

    API

    調用DeleteVpnConnection刪除IPsec串連。

    計費說明

    當IPsec串連綁定至VPN網關時,IPsec串連本身不收費,但其依賴的 VPN 閘道 執行個體會產生費用,詳見IPsec-VPN計費說明

    常見問題

    為什麼隧道狀態顯示“第一階段協商失敗”?

    如果雲上雲下都已完成IPsec相關配置,則通常原因為:

    1. 預先共用金鑰不匹配:請仔細核對阿里雲側和本地網關裝置上的預先共用金鑰,確保完全一致,包括大小寫和特殊字元。

    2. IKE 參數不一致:檢查 IKE 版本、協商模式、密碼編譯演算法、認證演算法、DH 分組等參數是否在兩端完全符合。

    3. 網路問題:檢查本地網關裝置的公網 IP 是否可達,以及是否有防火牆或電訊廠商策略攔截了 UDP 500/4500 連接埠。

    隧道狀態正常(第二階段協商成功),但無法 ping 通對端伺服器,是什麼原因?

    隧道協商成功僅代表加密通道已建立,資料能否通過還需檢查以下環節:

    1. 路由配置:檢查阿里雲 VPC 路由表和本機資料中心的路由表是否已正確配置,將流量指向 IPsec串連。

    2. 安全性群組和網路 ACL:檢查雲上 ECS 執行個體的安全性群組是否允許來自本地網段的 ICMP 或其他業務連接埠的流量。

    3. 本地防火牆策略:檢查本機資料中心的防火牆是否允許來自 VPC 網段的流量。

    我想使用 BGP 動態路由,但在配置時無法“啟用 BGP”,怎麼辦?

    這是因為您建立 IPsec 串連時所關聯的使用者網關沒有配置 ASN(自治系統號)。您必須刪除當前的 IPsec 串連,重新建立一個配置了 ASN 的使用者網關,然後再用這個新的使用者網關來建立 IPsec 串連。

    可以將隧道 2 設定為主隧道嗎?

    不可以。隧道 1(使用 VPN 閘道 IP 位址 1)固定為主隧道,隧道 2(使用 VPN 閘道 IP 位址 2)固定為備隧道,該角色無法更改。