創建和管理IPsec連接
更新時間 2024-12-31 10:12:33
最近更新時間: 2024-12-31 10:12:33
分享文章
本文介紹如何創建和管理IPsec連接。
前提條件
- 在創建IPsec連接前,請先了解IPsec VPN連接的使用流程,并依據使用流程完成創建IPsec連接的所有前置操作步驟。
- 如果IPsec連接綁定了國密型的VPN網關實例,則在創建IPsec連接前,需要在證書管理中上傳相關的國密證書。
創建IPsec連接 (普通型-密鑰認證)
- 登錄控制中心。
- 單擊控制中心左上角的
,選擇VPN網關實例所在地域。 - 在網絡產品中選擇“VPN連接”,進入VPN連接頁面。
- 在左側網絡控制臺,選擇“IPsec VPN”,進入IPsec VPN頁面。
- 單擊“IPsec連接”,進入“IPsec連接”頁簽。
- 單擊“創建IPsec連接”,按照提示配置參數。
| 參數 | 說明 | 取值樣例 |
|---|---|---|
| 名稱 | VPN連接的名稱。 | connection-1 |
| VPN網關 | 選擇已經創建的VPN網關。 | vpn-gateway-46c1-ipsec |
| 用戶網關 | 選擇已經創建的用戶網關。 | user-gateway-5da3 |
| 路由模式 | 支持目的路由和感興趣路由兩種路由模式。 | 感興趣路由 |
| 本端子網 | 選擇VPC側哪個子網需要和企業側進行聯通。 | subnet-b2a0(192.168.1.0/24) |
| 對端網段 | 配置企業側哪個網段需要和VPC側進行聯通。 | 172.16.1.0/24 |
| 協商生效 | 支持立即協商和流量觸發兩種協商方式。 | 立即生效 |
| 認證方式 | 支持秘鑰認證和證書認證兩種認證方式。 | 秘鑰認證 |
| 預共享秘鑰 | 認證方式選擇密鑰認證時,用于設置自定義秘鑰。 | ctyun***01 |
| 確認秘鑰 | 認證方式選擇密鑰認證時,用于設置確認秘鑰。 | ctyun***01 |
| LocalId | 支持FQDN和IP格式。 | 默認為當前選取的網關地址,如11.XX.XX.11 |
| RemoteId | 支持FQDN和IP格式。 | 默認選擇用戶網關的公網地址,如121.XX.XX.113 |
- 單擊“確認”,完成IPsec連接創建。
創建IPsec連接 (普通型-證書認證)
- 登錄控制中心。
- 單擊控制中心左上角的,選擇VPN網關實例所在地域。
- 在網絡產品中選擇“VPN連接”,進入VPN連接頁面。
- 在左側網絡控制臺,選擇“IPsec VPN”,進入IPsec VPN頁面。
- 單擊“IPsec連接”,進入“IPsec連接”頁簽。
- 單擊“創建IPsec連接”,按照提示配置參數。
| 參數 | 說明 | 取值樣例 |
|---|---|---|
| 名稱 | VPN連接的名稱。 | connection-1 |
| VPN網關 | 選擇已經創建的VPN網關。 | vpn-gateway-46c1-ipsec |
| 用戶網關 | 選擇已經創建的用戶網關。 | user-gateway-5da3 |
| 路由模式 | 支持目的路由和感興趣路由兩種路由模式。 | 感興趣路由 |
| 本端子網 | 選擇VPC側哪個子網需要和企業側進行聯通。 | subnet-b2a0(192.168.1.0/24) |
| 對端網段 | 配置企業側哪個網段需要和VPC側進行聯通。 | 172.16.1.0/24 |
| 協商生效 | 支持立即協商和流量觸發兩種協商方式。 | 立即生效 |
| 認證方式 | 支持秘鑰認證和證書認證兩種認證方式。 | 證書認證 |
| 認證選擇 | 認證方式選擇證書認證時,用于選擇使用的加密證書。支持選擇“自簽(默認)”或自行上傳的證書。 | 自簽(默認) |
| LocalId | 僅支持DN格式。 | 系統默認填充,不支持修改。 |
| RemoteId | 僅支持DN格式。 | 系統默認填充,不支持修改。 |
- 單擊“確認”,完成IPsec連接創建。
創建IPsec連接 (國密型)
- 登錄控制中心。
- 單擊控制中心左上角的,選擇VPN網關實例所在地域。
- 在網絡產品中選擇“VPN連接”,進入VPN連接頁面。
- 在左側網絡控制臺,選擇“IPsec VPN”,進入IPsec VPN頁面。
- 單擊“IPsec連接”,進入“IPsec連接”頁簽。
- 單擊“創建IPsec連接”,按照提示配置參數。
| 參數 | 說明 | 取值樣例 |
|---|---|---|
| 名稱 | VPN連接的名稱。 | connection-1 |
| VPN網關 | 選擇已經創建的VPN網關。 | vpn-gateway-46c1-ipsec |
| 用戶網關 | 選擇已經創建的用戶網關。 | user-gateway-5da3 |
| 路由模式 | 支持目的路由和感興趣路由兩種路由模式。 | 感興趣路由 |
| 本端子網 | 選擇VPC側哪個子網需要和企業側進行聯通。 | subnet-b2a0(192.168.1.0/24) |
| 對端網段 | 配置企業側哪個網段需要和VPC側進行聯通。 | 172.16.1.0/24 |
| 協商生效 | 支持立即協商和流量觸發兩種協商方式。 | 立即生效 |
| 認證方式 | 支持證書認證。 | 證書認證 |
| 認證選擇 | 認證方式選擇證書認證時,用于選擇使用的加密證書。需要先在證書管理中上傳相關的國密證書。 | cert-e437 |
| LocalId | 僅支持DN格式,非必填。 | 建議留空。 |
| RemoteId | 遠端用戶網關證書的名稱,僅支持DN格式,名稱需要從對端使用的證書中獲取。 | /CN=vpn2.home.gm.sig/OU=ctyun/O=ctyun/C=cn |
- 單擊“確認”,完成IPsec連接創建。
IKE策略
| 參數 | 說明 | 取值樣例 |
|---|---|---|
| 認證算法 | 認證哈希算法,支持的算法:SHA1、SHA256、SHA384、SHA512、SM3(國密型網關使用)。 默認配置為:SHA1 |
SHA256 |
| 加密算法 | 加密算法,支持的算法:AES-128、AES-192、AES-256、3DES、SM4(國密型網關使用)。 默認配置為:AES-128 |
AES-128 |
| DH算法 | Diffie-Hellman密鑰交換算法,支持的算法:Group 2、Group 5、Group 14。 默認配置為:Group 5 |
Group 14 |
| 版本 | IKE密鑰交換協議版本,支持的版本:v1、v2、國密IKE。 默認配置為:v1 |
v2 |
| 生命周期(秒) | 安全聯盟(SA—Security Associations)的生存時間,單位:秒。 在超過生存時間后,安全聯盟將被重新協商。 默認配置為:86400 |
86400 |
| 協商模式 | 支持Main、Aggressive兩種模式。默認配置為:Main | Main |
IPsec策略
| 參數 | 說明 | 取值樣例 |
|---|---|---|
| 認證算法 | 認證哈希算法,支持的算法:SHA1、SHA256、SHA384、SHA512、SM3(國密型網關使用)。 默認配置為:SHA1 |
SHA2-256 |
| 加密算法 | 加密算法,支持的算法:AES-128、AES-192、AES-256、3DES、SM4(國密型網關使用)。 默認配置為:AES-128 |
AES-128 |
| PFS | PFS(Perfect Forward Secrecy)即完美前向安全功能,用來配置IPsec隧道協商時使用。 PFS組支持的算法:DH group 2、DH group 5、DH group 14。 默認配置為:DH group 5 |
DH group 14 |
| DPD | 選擇開啟或關閉對等體存活檢測功能。默認配置為:啟用 | 啟用 |
| 傳輸協議 | IPsec傳輸和封裝用戶數據時使用的安全協議,目前支持的協議: ESP。 默認配置為:ESP |
ESP |
| 生命周期(秒) | 安全聯盟(SA—Security Associations)的生存時間,單位:秒。 在超過生存時間后,安全聯盟將被重新協商。 |
3600 |
