全部產品
Search

搜尋本產品

    VPN Gateway:IPsec串連(綁定VPN網關)

    文件中心

    VPN Gateway:IPsec串連(綁定VPN網關)

    更新時間:Feb 13, 2026

    建立VPN網關後,還需分別在阿里雲側和本地IDC側配置IPsec串連,才能實現本機資料中心與VPC互連。

    工作原理

    阿里雲側的IPsec串連預設為雙隧道模式,即包含一條主隧道和一條備用隧道。當主隧道因網路抖動或裝置故障中斷時,流量會自動切換至備用隧道,從而保障業務的連續性和網路的高可用性。

    • 隧道角色:系統利用 VPN 閘道的兩個不同公網 IP 位址,分別建立兩條隧道。

      • 隧道 1(使用 IP 位址 1)預設為主隧道,承載所有業務流量;

      • 隧道 2(使用 IP 位址 2)為備用隧道,處於待命狀態。

      隧道的主備角色是固定的,無法更改。

    • 健全狀態檢查與故障切換:系統自動檢測主隧道的連通性。當檢測到主隧道中斷後,VPN 閘道會自動將流量切換到備用隧道。待主隧道恢複後,流量將自動切回。

    • 可用性區域容災:IPsec串連的兩條隧道預設部署在不同的可用性區域。當其中一個可用性區域發生故障時,另一可用性區域的隧道仍然可用,從而提供跨可用性區域的容災能力。對於僅支援一個可用性區域的地區,兩條隧道會被部署在同一個可用性區域,不支援可用性區域層級的容災,但依舊擁有鏈路冗餘能力。

    存量的單隧道 VPN 閘道執行個體,預設只能建立單隧道模式的 IPsec-VPN 串連,推薦升級IPsec-VPN串連為雙隧道模式

    建立IPsec串連

    建立IPsec串連前,請確保已建立VPN網關執行個體使用者網關執行個體

    綁定增強型VPN網關(控制台)

    前往VPN控制台IPsec串連頁面,單擊綁定VPN網關,完成以下配置:

    • IPsec串連名稱:填寫有意義的名稱,例如dev-dc01-backup(環境-對端標識-用途)

    • 地區:選擇要綁定的VPN網關所屬地區。

    • VPN 閘道類型:選擇增強型IPsec-VPN

    • 計費類型:預設使用BGP(多線)類型的線路,使用CDT計費,享受每月220GB的免費額度(中國內地地區20GB/月,非中國內地地區200GB/月)。

    • 綁定VPN網關:選擇目標VPN網關。

    • 路由模式

      • 目的路由模式(預設值):匹配“目的IP地址”轉寄流量,適用於簡單情境。

      • 感興趣流模式:匹配“源IP地址”和“目的 IP 位址”轉寄流量,只有匹配成功的流量才會進入VPN隧道傳輸,該模式可以最佳化網路效能,減少不必要的流量處理。

        選擇此模式後,需配置本端網段(VPC 內需要通訊的網段)和對端網段(本機資料中心需要通訊的網段)。

        IPsec串連配置完成後,系統會自動產生策略路由源網段為IPsec串連本端網段目標網段為IPsec串連對端網段,下一跳指向IPsec串連,可選發布到VPC路由表(預設不發布)。

        • 在本地網關裝置配置感興趣流時,應確保所用網段與阿里雲端保持一致,並將兩端網段對調。

        • 可通過單擊文字框右側的添加表徵圖添加多個網段,配置多個網段時,後續IKE協議的版本需要選擇ikev2

    • 立即生效:如果需要快速啟用或避免流量延遲,推薦選擇“是”;如果希望節省資源且流量不頻繁,可選擇“否”。

    • 啟用BGP:請查看開啟/關閉BGP

    • 隧道相關配置:請查看隧道及加密配置,瞭解隧道 1(主)隧道 2(備)中相關參數的配置說明。

    綁定傳統型VPN網關(控制台)

    前往VPN控制台IPsec串連頁面,單擊綁定VPN網關,完成以下配置:

    • IPsec串連名稱:填寫有意義的名稱,例如dev-dc01-backup(環境-對端標識-用途)

    • 地區:選擇要綁定的VPN網關所屬地區。

    • VPN 閘道類型:選擇傳統型VPN網關

    • 綁定VPN網關:選擇目標VPN網關。

    • 路由模式

      • 目的路由模式(預設值):匹配“目的IP地址”轉寄流量,適用於簡單情境。

      • 感興趣流模式:匹配“源IP地址”和“目的 IP 位址”轉寄流量,只有匹配成功的流量才會進入VPN隧道傳輸,該模式可以最佳化網路效能,減少不必要的流量處理。

        選擇此模式後,需配置本端網段(VPC 內需要通訊的網段)和對端網段(本機資料中心需要通訊的網段)。

        IPsec串連配置完成後,系統會自動產生策略路由源網段為IPsec串連本端網段目標網段為IPsec串連對端網段,下一跳指向IPsec串連,可選發布到VPC路由表(預設不發布)。

        • 在本地網關裝置配置感興趣流時,應確保所用網段與阿里雲端保持一致,並將兩端網段對調。

        • 可通過單擊文字框右側的添加表徵圖添加多個網段,配置多個網段時,後續IKE協議的版本需要選擇ikev2

    • 立即生效:如果需要快速啟用或避免流量延遲,推薦選擇“是”;如果希望節省資源且流量不頻繁,可選擇“否”。

    • 啟用BGP:請查看開啟/關閉BGP

    • 隧道相關配置:請查看隧道及加密配置,瞭解隧道 1(主)隧道 2(備)中相關參數的配置說明。

    隧道配置
    重要

    建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力。

    • 啟用BGP:決定是否使用 BGP動態路由

      • 關閉(預設):使用靜態路由,適用於網路拓撲簡單的情境。

      • 開啟:適用於網路拓撲複雜、需要自動分發和學習路由的情境。前提:關聯的使用者網關必須已配置 ASN。

    • 本端自治系統號:啟用BGP後,阿里雲側的ASN號。兩條隧道使用相同的自治系統號,預設值:45104,取值範圍:1~4294967295。對端雲下裝置配置自治系統號時,建議使用私人 ASN 號。

    Tunnel 1(主隧道)和Tunnel 2 (備隧道)配置:

    • 使用者網關:選擇代表您本地網關裝置的使用者網關執行個體。兩條隧道可以關聯同一個使用者網關。

    • 預先共用金鑰:用於身份認證的密鑰,兩條隧道的密鑰必須與本地網關裝置上的配置完全一致。若不填則由系統隨機產生。

    單擊查看加密配置

    • IKE配置

      • 版本:推薦使用ikev2。IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援。

      • 協商模式

        • main(預設值):主模式。此模式加密傳輸身份資訊,協商過程安全性比aggressive高。

        • aggressive:野蠻模式,協商快速且協商成功率高。

        協商成功後兩種模式的資訊傳輸安全性相同。

      • 密碼編譯演算法:第一階段協商使用的密碼編譯演算法,必須與本地網關裝置一致。

        密碼編譯演算法支援aes128(預設值)、aes192aes256des3des

        VPN網關執行個體的頻寬規格為200 Mbps及以上時,推薦使用aes128aes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

        • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

        • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      • 認證演算法:第一階段協商使用的認證演算法,必須與本地網關裝置一致。

        認證演算法支援sha1(預設值)、md5sha256sha384sha512

        在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。

      • DH分組(完美向前加密 PFS):選擇第一階段協商的Diffie-Hellman金鑰交換演算法。

        group1group2(預設值)、group5group14分別表示DH分組中的DH1、DH2、DH5、DH14。

      • SA生存周期(秒):設定第一階段協商出的SA(Security Association,安全性關聯)的生存周期。預設值:86400。取值範圍:0~86400

      • LocalId:隧道本端的標識符。預設使用隧道的IP地址作為隧道本端標識符。

        該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。

        如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

      • RemoteId:隧道對端的標識符。預設值使用隧道關聯的使用者網關中的IP地址作為隧道對端標識符。

        該參數僅作為標識符用於在IPsec-VPN串連協商中標識本地網關裝置,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。

        如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    • IPsec配置

      • 密碼編譯演算法:第二階段協商的密碼編譯演算法。

        密碼編譯演算法支援aes(aes128,預設值)、aes192aes256des3des

        VPN網關執行個體的頻寬規格為200 Mbps及以上時,推薦使用aes128aes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

        • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

        • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      • 認證演算法:第二階段協商的認證演算法。

        認證演算法支援sha1(預設值)、md5sha256sha384sha512

      • DH分組(完美向前加密 PFS):第二階段協商的Diffie-Hellman金鑰交換演算法。

        • disabled:表示不使用DH金鑰交換演算法。

          • 對於不支援PFS的用戶端請選擇disabled

          • 如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。

        • group1group2(預設值)、group5group14分別表示DH分組中的DH1、DH2、DH5、DH14。

      • SA生存周期(秒):設定第二階段協商出的SA的生存周期。預設值:86400。取值範圍:0~86400

      • DPD:對等體存活檢測,建議始終開啟(預設)。它能及時發現對端故障並觸發切換,是實現高可用的關鍵。

        開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。DPD報文的逾時時間為30秒。

        IPsec串連使用IKEv2版本的情境下,對於部分存量VPN網關執行個體,DPD逾時時間可能為130秒或3600秒,此時可將VPN網關執行個體升級為最新版。

      • NAT穿越:建議保持預設開啟。開啟後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能發現加密通訊通道中的NAT Gateway裝置。

    BGP配置(可選)

    如果已開啟BGP功能,需在每條隧道下完成BGP配置

    確認配置

    1. 仔細檢查配置,確認無誤後單擊頁面底部的確定

    2. 在彈出的對話方塊中,單擊取消,後續再進行路由配置。

    3. 在目標IPsec串連的操作列單擊產生對端配置,在IPsec串連配置對話方塊複製配置並儲存到本地,以便用於配置本地網關裝置。

    API

    調用CreateVpnConnection建立IPsec串連。

    後續步驟

    為實現雲上VPC與雲下IDC互連,IPsec串連建立完成後您還需要:

    1. 配置VPN網關路由

    2. 配置本地網關裝置:根據在“配置IPsec串連”步驟中下載的對端配置,在本機資料中心的網關裝置(如防火牆或路由器)上完成 IPsec 和 BGP(如果啟用)的配置。

    開啟/關閉BGP

    在為IPsec串連開啟BGP功能前,請確保關聯的使用者網關執行個體已經配置了雲下的自治系統號。

    與IPsec串連相關的BGP配置項:

    • 本端自治系統號:啟用BGP後,阿里雲側的ASN號。兩條隧道使用相同的自治系統號,預設值:45104,取值範圍:1~4294967295。對端雲下裝置配置自治系統號時,建議使用私人 ASN 號。

    • 隧道網段:用於 BGP 鄰居建立串連的互聯位址區段。一個VPN網關執行個體下,每個隧道的網段需保持唯一。需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

    • 本端BGP地址:阿里雲側的 BGP IP,必須屬於隧道網段。例如,在 169.254.10.0/30 網段中,可使用 169.254.10.1

    關於BGP路由功能支援狀態、路由宣告原則、使用限制,請查看配置BGP動態路由

    控制台

    開啟BGP

    • 建立IPsec串連時,可啟用BGP,並配置本端自治系統號隧道網段本端BGP地址,直接開啟BGP功能。

    • 針對已建立的IPsec串連,可在IPsec串連執行個體詳情頁面的IPsec串連基本資料地區,啟用BGP

      需確保使用者網關執行個體已配置自治系統號,否則只能刪除重建使用者網關和IPsec串連。

    關閉BGP

    在IPsec串連執行個體詳情頁面的IPsec串連基本資料地區,關閉啟用BGP

    API

    • 新建立IPsec串連時,調整CreateVpnConnectionEnableTunnelsBgp參數開啟BGP並調整TunnelOptionsSpecification -> TunnelBgpConfig 參數來配置每個隧道的BGP選項。

    • 針對已建立的IPsec串連,調整ModifyVpnConnectionAttributeEnableTunnelsBgp參數開啟/關閉BGP通過調整TunnelOptionsSpecification -> TunnelBgpConfig 參數來配置每個隧道的BGP選項。

    隧道及加密配置

    每條隧道配置分為3部分:

    1. 隧道基本配置

      • 使用者網關:選擇代表您本地網關裝置的使用者網關執行個體。兩條隧道可以關聯同一個使用者網關。

      • 預先共用金鑰:用於身份認證的密鑰,兩條隧道的密鑰必須與本地網關裝置上的配置完全一致。若不填則由系統隨機產生。

    2. 加密配置

      • 增強型VPN:支援多演算法相容模式,系統預設選擇多個加密配置,自動與支援多演算法相容的雲下本地網關裝置協商演算法。

      • 傳統型VPN:必須單獨指定演算法配置,並且要和雲下本地網關裝置支援的演算法匹配。

      配置項

      說明

      IKE配置

      版本

      推薦使用ikev2。IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援。

      協商模式

      main(預設值):主模式。此模式加密傳輸身份資訊,協商過程安全性比aggressive高。

      aggressive:野蠻模式,協商快速且協商成功率高。

      協商成功後兩種模式的資訊傳輸安全性相同。

      密碼編譯演算法

      第一階段協商使用的密碼編譯演算法。

      • 增強型VPN:支援AES128AES128-GCM-16AES192AES256AES256-GCM-16DES3DES

        • 推薦使用:AES128-GCM-16AES256-GCM-16,效能高,且更安全。

        • 不推薦:DES3DES

      • 傳統型VPN:

        • 和增強型相比,不支援AES128-GCM-16AES256-GCM-16

        • 執行個體的頻寬規格為200 Mbps及以上時,推薦使用AES128AES192AES256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

          • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

          • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      認證演算法

      第一階段協商使用的認證演算法。

      支援sha1(預設值)、md5sha256sha384sha512

      在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。

      DH分組(完美向前加密 PFS)

      選擇第一階段協商的Diffie-Hellman金鑰交換演算法。

      • disabled:表示不使用DH金鑰交換演算法。

        • 對於不支援PFS的用戶端請選擇disabled

        • 如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。

      • group1-group24 :DH分組數字越大安全性越高,但也會更耗費效能。建議先確認VPN對端支援哪些DH Group,然後在共同支援的列表中,優先選擇ECDH組(Group 19、20、21)。

        傳統型VPN只支援group1/2/5/14。

      SA生存周期(秒)

      設定第一階段協商出的SA(Security Association,安全性關聯)的生存周期。預設值:86400。取值範圍:0~86400

      LocalId

      隧道本端的標識符。預設使用隧道的IP地址作為隧道本端標識符。

      該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。

      如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

      RemoteId

      隧道對端的標識符。預設值使用隧道關聯的使用者網關中的IP地址作為隧道對端標識符。

      該參數僅作為標識符用於在IPsec-VPN串連協商中標識本地網關裝置,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。

      如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

      IPsec配置

      密碼編譯演算法

      設定第二階段協商的相關配置,可直接參考第一階段IKE配置中對應的選項說明。

      認證演算法

      DH分組(完美向前加密 PFS)

      SA生存周期(秒)

      DPD

      對等體存活檢測,建議始終開啟(預設)。它能及時發現對端故障並觸發切換,是實現高可用的關鍵。

      開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。DPD報文的逾時時間為30秒。

      IPsec串連使用IKEv2版本的情境下,對於部分存量VPN網關執行個體,DPD逾時時間可能為130秒或3600秒,此時可將VPN網關執行個體升級為最新版。

      NAT穿越

      建議保持預設開啟。開啟後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能發現加密通訊通道中的NAT Gateway裝置。

    3. BGP配置:開啟BGP後才會有此選項,詳見開啟/關閉BGP

    控制台

    • 建立IPsec串連時,可直接進行隧道相關配置。

    • 針對已建立的IPsec串連,單擊目標IPsec串連執行個體ID進入詳情頁,在目標隧道的操作列單擊編輯修改隧道配置。

    重要

    建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力。

    API

    調用ModifyTunnelAttribute修改隧道配置。

    修改IPsec串連

    在IPsec串連已綁定了VPN網關執行個體的情境下,不支援修改IPsec串連關聯的VPN網關執行個體,僅支援修改IPsec串連路由模式立即生效的配置。

    控制台

    1. 前往VPC控制台IPsec串連頁面,切換到目標地區並在目標IPsec串連的操作列單擊編輯

    2. 編輯IPsec串連頁面,修改IPsec串連的名稱、互連網段等配置,然後單擊確定

      參數的詳細說明詳見建立IPsec串連

    API

    調用ModifyVpnConnectionAttribute修改IPsec串連的配置。

    刪除IPsec串連

    控制台

    1. 前往VPC控制台IPsec串連頁面,切換到目標地區並在目標IPsec串連的操作列單擊刪除

    2. 在彈出的對話方塊中,確認資訊,然後單擊確定

    API

    調用DeleteVpnConnection刪除IPsec串連。

    計費說明

    常見問題

    為什麼隧道狀態顯示“第一階段協商失敗”?

    如果雲上雲下都已完成IPsec相關配置,則通常原因為:

    1. 預先共用金鑰不匹配:請仔細核對阿里雲側和本地網關裝置上的預先共用金鑰,確保完全一致,包括大小寫和特殊字元。

    2. IKE 參數不一致:檢查 IKE 版本、協商模式、密碼編譯演算法、認證演算法、DH 分組等參數是否在兩端完全符合。

    3. 網路問題:檢查本地網關裝置的公網 IP 是否可達,以及是否有防火牆或電訊廠商策略攔截了 UDP 500/4500 連接埠。

    隧道狀態正常(第二階段協商成功),但無法 ping 通對端伺服器,是什麼原因?

    隧道協商成功僅代表加密通道已建立,資料能否通過還需檢查以下環節:

    1. 路由配置:檢查阿里雲 VPC 路由表和本機資料中心的路由表是否已正確配置,將流量指向 IPsec串連。

    2. 安全性群組和網路 ACL:檢查雲上 ECS 執行個體的安全性群組是否允許來自本地網段的 ICMP 或其他業務連接埠的流量。

    3. 本地防火牆策略:檢查本機資料中心的防火牆是否允許來自 VPC 網段的流量。

    我想使用 BGP 動態路由,但在配置時無法“啟用 BGP”,怎麼辦?

    這是因為您建立 IPsec 串連時所關聯的使用者網關沒有配置 ASN(自治系統號)。您必須刪除當前的 IPsec 串連,重新建立一個配置了 ASN 的使用者網關,然後再用這個新的使用者網關來建立 IPsec 串連。

    可以將隧道 2 設定為主隧道嗎?

    不可以。隧道 1(使用 VPN 閘道 IP 位址 1)固定為主隧道,隧道 2(使用 VPN 閘道 IP 位址 2)固定為備隧道,該角色無法更改。

    是否可以建立單隧道模式的 IPsec-VPN 串連?

    • 新購 VPN 閘道執行個體後,預設僅能建立雙隧道模式的 IPsec-VPN 串連,不再支援建立單隧道模式的 IPsec-VPN 串連。

    • 已建立的單隧道 VPN 閘道執行個體預設只能建立單隧道模式的 IPsec-VPN 串連。推薦升級IPsec-VPN串連為雙隧道模式,升級後該VPN網關執行個體不再支援建立單隧道模式的 IPsec-VPN 串連。

    單隧道 VPN 閘道執行個體建立 IPsec-VPN 串連

    1. 配置IPsec串連

    建立IPsec串連前,請確保已建立使用者網關執行個體

    控制台

    前往VPN控制台IPsec串連頁面,單擊綁定VPN網關,完成以下配置:

    IPsec配置

    • 選擇要綁定的VPN網關所屬地區和對應執行個體。

    • 路由模式

      • 目的路由模式(預設值):基於目的IP地址轉寄流量。適用於通過 BGP 動態學習路由或在 VPN 閘道配置靜態路由的情境,配置簡單。

      • 感興趣流模式:基於源和目的 IP 位址轉寄流量,適用於僅希望特定網段之間互連的複雜網路情境。選擇此模式後,需配置本端網段(VPC 內需要通訊的網段)和對端網段(本機資料中心需要通訊的網段)。

        IPsec串連配置完成後,系統會自動產生策略路由源網段為IPsec串連本端網段目標網段為IPsec串連對端網段,下一跳指向IPsec串連,可選發布到VPC路由表(預設不發布)。

        • 在本地網關裝置配置感興趣流時,應確保所用網段與阿里雲端保持一致,並將兩端網段對調。

        • 可通過單擊文字框右側的添加表徵圖添加多個網段,配置多個網段時,後續IKE協議的版本需要選擇ikev2

    • 立即生效:如果需要快速啟用或避免流量延遲,推薦選擇“是”;如果希望節省資源且流量不頻繁,可選擇“否”。

    隧道配置

    • 使用者網關:選擇代表本地網關裝置的使用者網關執行個體。兩條隧道可以關聯同一個使用者網關。

    • 預先共用金鑰:用於身份認證的密鑰,兩條隧道的密鑰必須與本地網關裝置上的配置完全一致。若不填則由系統隨機產生。

    • 啟用BGP:決定是否使用 BGP動態路由

      • 關閉(預設):使用靜態路由,適用於網路拓撲簡單的情境。

      • 開啟:適用於網路拓撲複雜、需要自動分發和學習路由的情境。前提:關聯的使用者網關必須已配置 ASN。

    • 本端自治系統號:啟用BGP後,阿里雲側的ASN號。預設值:45104,取值範圍:1~4294967295。對端雲下裝置配置自治系統號時,建議使用私人 ASN 號。

    單擊查看加密配置

    • IKE配置

      • 版本:推薦使用ikev2。IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援。

      • 協商模式:協商成功後兩種模式的資訊傳輸安全性相同。

        • main(預設值):主模式。此模式加密傳輸身份資訊,協商過程安全性比aggressive高。

        • aggressive:野蠻模式,協商快速且協商成功率高。

      • 密碼編譯演算法:第一階段協商使用的密碼編譯演算法,必須與本地網關裝置一致。

        密碼編譯演算法支援aes128(預設值)、aes192aes256des3des

        VPN網關執行個體的頻寬規格為200 Mbps及以上時,推薦使用aes128aes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

        • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

        • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      • 認證演算法:第一階段協商使用的認證演算法,必須與本地網關裝置一致。

        認證演算法支援sha1(預設值)、md5sha256sha384sha512

        在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。

      • DH分組(完美向前加密 PFS):選擇第一階段協商的Diffie-Hellman金鑰交換演算法。

        group1group2(預設值)、group5group14分別表示DH分組中的DH1、DH2、DH5、DH14。

      • SA生存周期(秒):設定第一階段協商出的SA(Security Association,安全性關聯)的生存周期。預設值:86400。取值範圍:0~86400

      • LocalId:隧道本端的標識符。預設使用隧道的IP地址作為隧道本端標識符。

        該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。

        如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

      • RemoteId:隧道對端的標識符。預設值使用隧道關聯的使用者網關中的IP地址作為隧道對端標識符。

        該參數僅作為標識符用於在IPsec-VPN串連協商中標識本地網關裝置,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。

        如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    • IPsec配置

      • 密碼編譯演算法:第二階段協商的密碼編譯演算法。

        密碼編譯演算法支援aes128(預設值)、aes192aes256des3des

        VPN網關執行個體的頻寬規格為200 Mbps及以上時,推薦使用aes128aes192aes256密碼編譯演算法,不推薦使用3des密碼編譯演算法。

        • aes是一種對稱金鑰密碼編譯演算法,提供高強度的加密和解密,在保證資料安全傳輸的同時對網路延遲、輸送量、轉寄效能影響較小。

        • 3des是三重資料加密演算法,加密時間較長且演算法複雜度較高,運算量較大,相比aes會降低轉寄效能。

      • 認證演算法:第二階段協商的認證演算法。

        認證演算法支援sha1(預設值)、md5sha256sha384sha512

      • DH分組(完美向前加密 PFS):第二階段協商的Diffie-Hellman金鑰交換演算法。

        • disabled:表示不使用DH金鑰交換演算法。

          • 對於不支援PFS的用戶端請選擇disabled

          • 如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。

        • group1group2(預設值)、group5group14分別表示DH分組中的DH1、DH2、DH5、DH14。

      • SA生存周期(秒):設定第二階段協商出的SA的生存周期。預設值:86400。取值範圍:0~86400

      • DPD:對等體存活檢測,建議始終開啟(預設)。它能及時發現對端故障並觸發切換。

        開啟DPD功能後,IPsec串連會發送DPD報文用來檢測對端的裝置是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec串連將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測逾時後,IPsec串連會自動重新發起IPsec-VPN隧道協商。DPD報文的逾時時間為30秒。

        IPsec串連使用IKEv2版本的情境下,對於部分存量VPN網關執行個體,DPD逾時時間可能為130秒或3600秒,此時可將VPN網關執行個體升級為最新版。

      • NAT穿越:建議保持預設開啟。開啟後,IKE協商過程會刪除對UDP連接埠號碼的驗證過程,同時能發現加密通訊通道中的NAT Gateway裝置。

    BGP配置(可選)

    如果已開啟BGP功能,需在每條隧道下完成BGP配置

    健全狀態檢查

    系統預設關閉。在非主備 IPsec-VPN 連線應用程式情境下,不推薦為 IPsec 串連配置健全狀態檢查。如果配置健全狀態檢查,需確保目標IP支援 ICMP 應答,且需要在本機資料中心側添加一條目標網段為源IP,子網路遮罩為32位,下一跳指向IPsec串連的路由條目,以確保IPsec串連健全狀態檢查功能正常工作。

    確認配置

    1. 仔細檢查配置,確認無誤後單擊頁面底部的確定

    2. 在彈出的對話方塊中,單擊取消,後續再進行路由配置。

    3. 在目標IPsec串連的操作列單擊產生對端配置,複製配置並儲存到本地,以便用於配置本地網關裝置。

    API

    調用CreateVpnConnection建立IPsec串連。

    2. 配置VPN網關和VPC路由

    根據配置VPN網關路由進行配置。

    3. 配置本地網關裝置

    根據在“配置IPsec串連”步驟中下載的對端配置,在本機資料中心的網關裝置(如防火牆或路由器)上完成 IPsec 和 BGP(如果啟用)的配置。具體配置方法請參考相應裝置的廠商文檔,樣本:配置本地網關裝置