全部產品
Search
文件中心

VPN Gateway:建立和管理IPsec串連(雙隧道模式)

更新時間:Apr 03, 2025

在配置IPsec-VPN串連實現本機資料中心與VPC互連的過程中,您需要建立IPsec串連以建立加密通訊通道。本文介紹如何建立和管理雙隧道模式的IPsec串連。

前提條件

建立IPsec串連前,請確保已建立VPN網關執行個體使用者網關執行個體

建立IPsec串連

  1. 登入VPN網關管理主控台
  2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  3. IPsec串連頁面,單擊綁定VPN網關

  4. 建立IPsec串連(VPN)頁面,根據以下資訊配置IPsec串連,然後單擊確定

    基本配置

    配置項

    說明

    IPsec串連名稱

    輸入IPsec串連的名稱。

    地區

    選擇IPsec串連要綁定的VPN網關執行個體的地區。

    IPsec串連建立完成後所屬地區與VPN網關執行個體地區相同。

    資源群組篩選

    選擇VPN網關執行個體所屬的資源群組。

    如果您不選擇,系統直接展示所有資源群組下的VPN網關執行個體。

    綁定VPN網關

    選擇IPsec串連要綁定的VPN網關執行個體。

    路由模式

    選擇IPsec串連的路由模式。

    • 目的路由模式(預設值):基於目的IP地址路由和轉寄流量。

    • 感興趣流模式:基於源IP地址和目的IP地址精確的路由和轉寄流量。

      選擇感興趣流模式後,您需要配置本端網段對端網段

      IPsec串連配置完成後,系統會自動在VPN網關執行個體的策略路由表中添加源網段為IPsec串連本端網段目標網段為IPsec串連對端網段,下一跳指向IPsec串連的策略路由,策略路由預設是未發布狀態。您可以依據網路互連需求決定是否將該策略路由發布至VPC的路由表中。

    本端網段

    路由模式選擇感興趣流模式後,需輸入需要和本機資料中心互連的VPC側的網段。第二階段協商時會協商兩端的感興趣流,指定的本端網段和本機資料中心側對端網段建議保持一致。

    單擊文字框右側的添加表徵圖,可添加多個需要和本機資料中心互連的VPC側的網段。

    說明

    如果您配置了多個網段,則後續IKE協議的版本需要選擇為ikev2

    對端網段

    路由模式選擇感興趣流模式後,需輸入需要和VPC互連的本機資料中心側的網段。第二階段協商時會協商兩端的感興趣流,指定的對端網段和本機資料中心側本端網段建議保持一致。

    單擊文字框右側的添加表徵圖,可添加多個需要和VPC側互連的本機資料中心側的網段。

    說明

    如果您配置了多個網段,則後續IKE協議的版本需要選擇為ikev2

    立即生效

    選擇IPsec串連的配置是否立即生效。

    • (預設值):配置完成後系統立即進行IPsec協議協商。

    • :當有流量進入時系統才進行IPsec協議協商。

    隧道配置

    請根據以下資訊為IPsec串連添加隧道配置,系統預設隧道1為主隧道,使用VPN網關執行個體IPsec地址1建立IPsec-VPN串連;隧道2為備隧道,使用VPN網關執行個體IPsec地址2建立IPsec-VPN串連,不支援變更隧道角色。

    重要

    建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力。

    配置項

    說明

    啟用BGP

    選擇是否為隧道開啟BGP(Border Gateway Protocol)動態路由功能。系統預設關閉BGP功能。

    開啟BGP功能後,IPsec串連下的兩條隧道可以通過BGP動態路由協議自動分發和學習本機資料中心和VPC側的路由,幫您降低網路維護成本和網路設定風險。

    使用BGP動態路由功能前,建議您先瞭解BGP動態路由的工作機制和使用限制。

    本端自治系統號

    啟用BGP後,輸入隧道本端的自治系統號,兩條隧道使用相同的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295

    說明

    建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。

    使用者網關

    選擇隧道關聯的使用者網關執行個體。

    兩條隧道支援關聯相同的使用者網關執行個體。

    預先共用金鑰

    輸入隧道的認證密鑰,用於隧道與隧道對端之間的身份認證。

    • 密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。

    • 若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過隧道的編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改隧道的配置

    重要

    隧道及隧道對端的預先共用金鑰需一致,否則系統無法正常建立隧道。

    加密配置:IKE配置

    配置項

    說明

    版本

    選擇IKE協議的版本。

    • ikev1

    • ikev2(預設值)

      相對於IKEv1版本,IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援,推薦選擇IKEv2版本。

    協商模式

    選擇協商模式。

    • main(預設值):主模式,協商過程安全性高。

    • aggressive:野蠻模式,協商快速且協商成功率高。

    協商成功後兩種模式的資訊傳輸安全性相同。

    密碼編譯演算法

    選擇第一階段協商使用的密碼編譯演算法。

    密碼編譯演算法支援aes(aes128,預設值)、aes192aes256des3des

    說明

    如果VPN網關執行個體的頻寬規格為200 Mbps及以上,推薦使用aesaes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

    • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

    • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

    認證演算法

    選擇第一階段協商使用的認證演算法。

    認證演算法支援sha1(預設值)、md5sha256sha384sha512

    說明

    在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。

    DH分組(完美向前加密 PFS)

    選擇第一階段協商的Diffie-Hellman金鑰交換演算法。

    • group1:表示DH分組中的DH1。

    • group2(預設值):表示DH分組中的DH2。

    • group5:表示DH分組中的DH5。

    • group14:表示DH分組中的DH14。

    SA生存周期(秒)

    設定第一階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400

    LocalId

    輸入隧道本端的標識符。預設使用隧道的IP地址作為隧道本端標識符。

    該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。

    如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    RemoteId

    輸入隧道對端的標識符。預設值使用隧道關聯的使用者網關中的IP地址作為隧道對端標識符。

    該參數僅作為標識符用於在IPsec-VPN串連協商中標識本地網關裝置,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。

    如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    加密配置:IPsec配置

    配置項

    說明

    密碼編譯演算法

    選擇第二階段協商的密碼編譯演算法。

    密碼編譯演算法支援aes(aes128,預設值)、aes192aes256des3des

    說明

    如果VPN網關執行個體的頻寬規格為200 Mbps及以上,推薦使用aesaes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

    • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

    • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

    認證演算法

    選擇第二階段協商的認證演算法。

    認證演算法支援sha1(預設值)、md5sha256sha384sha512

    DH分組(完美向前加密 PFS)

    選擇第二階段協商的Diffie-Hellman金鑰交換演算法。

    • disabled:表示不使用DH金鑰交換演算法。

      • 對於不支援PFS的用戶端請選擇disabled

      • 如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。

    • group1:表示DH分組中的DH1。

    • group2(預設值):表示DH分組中的DH2。

    • group5:表示DH分組中的DH5。

    • group14:表示DH分組中的DH14。

    SA生存周期(秒)

    設定第二階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400

    DPD

    選擇開啟或關閉對等體存活檢測DPD(Dead Peer Detection)功能。DPD功能預設開啟。

    開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。DPD報文的逾時時間為30秒。

    說明

    IPsec串連使用IKEv2版本的情境下,對於部分存量VPN網關執行個體,DPD逾時時間可能為130秒或3600秒。您可以將VPN網關執行個體升級為最新版。

    NAT穿越

    選擇開啟或關閉NAT(Network Address Translation)穿越功能。NAT穿越功能預設開啟。

    開啟NAT穿越功能後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能幫您發現加密通訊通道中的NAT Gateway裝置。

    BGP配置

    如果您已經開啟了IPsec串連的BGP功能,您可以根據以下資訊為隧道添加BGP配置。如果您未開啟IPsec串連的BGP功能,您可以在建立IPsec串連後單獨為隧道開啟BGP功能並添加相應配置。具體操作,請參見單獨為隧道開啟BGP功能

    配置項

    說明

    隧道網段

    輸入隧道的網段。

    隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

    說明

    一個VPN網關執行個體下,每個隧道的網段需保持唯一。

    本端BGP地址

    輸入隧道本端的BGP IP地址。

    該地址為隧道網段內的一個IP地址。

    標籤

    建立IPsec串連時支援為IPsec串連添加標籤,您可以通過標籤對IPsec串連進行標記和分類,便於資源的搜尋和彙總。更多資訊,請參見標籤

    配置項

    說明

    標籤鍵

    為IPsec串連添加標籤鍵,支援選擇已有標籤鍵或輸入新的標籤鍵。

    標籤值

    為IPsec串連添加標籤值,支援選擇已有標籤值或輸入新的標籤值。標籤值可以為空白。

  5. 後續單獨配置VPN網關路由,當前在彈出的對話方塊中,單擊取消

  6. 保持在IPsec串連頁面,找到目標IPsec串連,在操作列單擊產生對端配置

  7. IPsec串連配置對話方塊複製配置並儲存到您本地,以便用於配置本地網關裝置。

後續步驟

  1. 配置VPN網關路由

  2. 根據下載的IPsec串連對端配置,配置本地網關裝置

查看IPsec串連隧道資訊

建立IPsec串連後,您可以在IPsec串連詳情頁面下查看兩條隧道的狀態和資訊。

  1. 登入VPN網關管理主控台

  2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  3. 在頂部功能表列,選擇IPsec串連的地區。
  4. IPsec串連頁面,找到目標IPsec串連,單擊IPsec串連ID。

  5. 在IPsec串連詳情頁面,查看IPsec串連下兩條隧道的狀態和資訊。

    欄位

    說明

    Tunnel/Tunnel ID

    隧道ID。

    隧道主/備角色

    隧道角色。

    • :表示當前隧道為主隧道。

    • :表示當前隧道為備隧道。

    網關IP

    建立IPsec-VPN串連時阿里雲側使用的IP地址。

    • 主隧道預設使用VPN網關執行個體的IPsec地址1。

    • 備隧道預設使用VPN網關執行個體的IPsec地址2。

    預先共用金鑰

    隧道使用的預先共用金鑰。

    預先共用金鑰預設加密,滑鼠移動至查看字樣上可顯示預先共用金鑰。

    隧道網段

    如果隧道開啟了BGP動態路由功能,則該欄位顯示為隧道使用的BGP隧道網段。

    本端BGP地址

    如果隧道開啟了BGP動態路由功能,則該欄位顯示為阿里雲側使用的BGP IP地址。

    串連狀態

    隧道的IPsec-VPN協商狀態。

    • 如果IPsec-VPN協商成功,控制台會顯示第二階段協商成功

    • 如果IPsec-VPN未能協商成功,控制台會給出相應提示,您可以根據提示排查未協商成功的原因。相關解決方案,請參見自主排查IPsec-VPN串連問題

    使用者網關

    隧道關聯的使用者網關執行個體。

    使用者網關執行個體中包含了本機資料中心側使用的IP地址和BGP AS號。

    狀態

    隧道運行狀態。

    • 正常

    • 更新中

    • 刪除中

管理IPsec串連

單獨為隧道開啟BGP功能

建立IPsec串連時如果您並沒有為隧道開啟BGP功能,您可以在建立IPsec串連後單獨為隧道開啟BGP功能。

在為IPsec串連開啟BGP功能前,請確保IPsec串連關聯的使用者網關執行個體已經配置了BGP AS號,如果使用者網關執行個體未配置BGP AS號,則該IPsec串連不支援開啟BGP功能。

您可以刪除當前IPsec串連,重新建立,並為IPsec串連關聯已配置有BGP AS號的使用者網關執行個體。

  1. 登入VPN網關管理主控台

  2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  3. 在頂部功能表列,選擇IPsec串連的地區。
  4. IPsec串連頁面,找到目標IPsec串連,單擊IPsec串連ID。

  5. 在IPsec串連執行個體詳情頁面的IPsec串連基本資料地區,在啟用BGP右側單擊按鈕。

  6. BGP配置對話方塊,添加BGP配置,然後單擊確定

    需為兩條隧道同時添加BGP配置。關於BGP配置項的說明,請參見BGP配置

    如果您需要為IPsec串連關閉BGP功能,在啟用BGP右側單擊按鈕,在關閉BGP配置對話方塊單擊確定即可。

修改隧道的配置

  1. 登入VPN網關管理主控台

  2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  3. 在頂部功能表列,選擇IPsec串連的地區。
  4. IPsec串連頁面,找到目標IPsec串連,單擊IPsec串連ID。

  5. 在IPsec串連執行個體詳情頁面,找到目標隧道,在操作列單擊編輯

  6. 在編輯頁面,修改隧道的配置,然後單擊確定

    關於隧道下各個配置項的說明,請參見隧道配置

修改IPsec串連的配置

在IPsec串連已綁定了VPN網關執行個體的情境下,不支援修改IPsec串連關聯的VPN網關執行個體,僅支援修改IPsec串連路由模式立即生效的配置。

  1. 登入VPN網關管理主控台

  2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  3. 在頂部功能表列,選擇IPsec串連的地區。
  4. IPsec串連頁面,找到目標IPsec串連,在操作列單擊編輯

  5. 編輯IPsec串連頁面,修改IPsec串連的名稱、互連網段等配置,然後單擊確定

    關於參數的詳細說明,請參見建立IPsec串連

刪除IPsec串連

  1. 登入VPN網關管理主控台

  2. 在左側導覽列,選擇網間互聯 > VPN > IPsec串連

  3. 在頂部功能表列,選擇IPsec串連的地區。
  4. IPsec串連頁面,找到目標IPsec串連,在操作列單擊刪除

  5. 在彈出的對話方塊中,確認資訊,然後單擊確定

通過調用API建立和管理IPsec串連

支援通過阿里雲 SDK(推薦)阿里雲 CLITerraformResource Orchestration Service等工具調用API建立和管理IPsec串連。相關API說明,請參見: