日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

創建和管理IPsec連接(單隧道模式)

在使用IPsec-VPN建立本地數據中心與轉發路由器網絡連接的過程中,您需要創建IPsec連接以建立加密通信通道。本文介紹如何創建和管理單隧道模式的IPsec連接。

說明

IPsec連接綁定轉發路由器場景中,部分地域的IPsec-VPN連接已支持雙隧道模式,一個雙隧道模式的IPsec-VPN連接包含兩條隧道,兩條隧道自動形成ECMP(Equal-Cost Multipath Routing)鏈路,在一條隧道故障后,流量可以通過另一條隧道進行傳輸,實現IPsec-VPN連接的高可用。在支持多可用區的地域,IPsec-VPN連接的兩條隧道會自動分布在不同可用區,提供可用區級別的容災能力。推薦您使用雙隧道模式的IPsec-VPN連接。更多信息,請參見綁定轉發路由器場景雙隧道IPsec-VPN連接說明

前提條件

在創建IPsec連接前,請您先了解IPsec-VPN連接的使用流程,并依據使用流程完成創建IPsec連接前的所有操作步驟。更多信息,請參見使用流程

創建IPsec連接

  1. 登錄VPN網關管理控制臺
  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。

    IPsec連接的地域需和待綁定的轉發路由器實例所屬的地域相同。

  4. IPsec連接頁面,單擊創建IPsec連接

  5. 創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定

    基本配置

    說明

    在您創建第一個VPN網關實例或第一個IPsec連接(指IPsec連接綁定轉發路由器的場景)時,系統將自動創建服務關聯角色AliyunServiceRoleForVpn,該服務關聯角色允許VPN網關對彈性網卡、安全組等資源進行操作,以便您可以成功創建VPN網關實例或IPsec連接。如果您的賬號下已存在該服務關聯角色,系統則不會重復創建。關于AliyunServiceRoleForVpn的更多信息,請參見AliyunServiceRoleForVpn

    配置

    說明

    名稱

    輸入IPsec連接的名稱。

    資源組

    選擇云企業網實例所屬的資源組。

    如果您不選擇,系統直接展示所有資源組下的云企業網實例。

    綁定資源

    選擇IPsec連接綁定的資源類型。請選擇云企業網或者不綁定

    • 如果您選擇云企業網,則系統在創建IPsec連接的過程中直接將IPsec綁定至您指定的同賬號的轉發路由器實例。

    • 如果您選擇不綁定,則IPsec連接被創建后不會綁定任何資源。后續您可以在云企業網CEN(Cloud Enterprise Network)管理控制臺將該IPsec連接綁定至同賬號或者跨賬號的轉發路由器實例。具體操作,請參見創建VPN連接

      說明

      如果您需要更換IPsec連接綁定的轉發路由器實例,您需要先在原轉發路由器實例下卸載VPN連接,然后在目標轉發路由器下重新創建VPN連接。具體操作,請參見刪除網絡實例連接創建VPN連接

    網關類型

    選擇IPsec連接的網絡類型。

    • 公網(默認值):表示通過公網建立IPsec-VPN連接。

    • 私網:表示通過私網建立IPsec-VPN連接。

    云企業網實例ID

    選擇轉發路由器實例所屬的云企業網實例。

    轉發路由器

    系統直接展示云企業網實例在該地域創建的轉發路由器實例ID。

    可用區

    選擇可用區。

    系統將在您選擇的可用區下創建資源。

    路由模式

    選擇IPsec連接的路由模式。

    • 目的路由模式(默認值):基于目的IP地址路由和轉發流量。

    • 感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉發流量。

      選擇感興趣流模式后,您需要配置本端網段對端網段。IPsec連接配置完成后,系統自動在IPsec連接下的目的路由表中添加目的路由,路由默認會被發布至IPsec連接關聯的轉發路由器的路由表中。

    本端網段

    輸入需要和本地數據中心互通的阿里云側的網段,用于第二階段協商。

    單擊文本框右側的添加圖標,可添加多個需要和本地數據中心互通的阿里云側的網段。

    說明

    如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2

    對端網段

    輸入需要和阿里云互通的本地數據中心側的網段,用于第二階段協商。

    單擊文本框右側的添加圖標,可添加多個需要和阿里云側互通的本地數據中心側的網段。

    說明

    如果您配置了多個網段,則后續IKE協議的版本需要選擇為ikev2

    立即生效

    選擇IPsec連接的配置是否立即生效。

    • (默認值):配置完成后系統立即進行IPsec協議協商。

    • :當有流量進入時系統才進行IPsec協議協商。

    用戶網關

    選擇IPsec連接待關聯的用戶網關。

    預共享密鑰

    輸入IPsec連接的認證密鑰,用于轉發路由器實例與本地數據中心之間的身份認證。

    • 密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。

    • 若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改IPsec連接

    重要

    IPsec連接兩側配置的預共享密鑰需一致,否則系統無法正常建立IPsec連接。

    啟用BGP

    如果IPsec連接需要使用BGP路由協議,需要打開BGP功能的開關,系統默認關閉BGP功能。

    使用BGP動態路由功能前,建議您先了解BGP動態路由功能工作機制和使用限制。更多信息,請參見配置BGP動態路由

    本端自治系統號

    如果IPsec連接啟用了BGP功能,需輸入IPsec連接阿里云側的自治系統號。默認值:45104。自治系統號取值范圍:1~4294967295

    支持按照兩段位的格式進行輸入,即:前16位比特.后16位比特。每個段位使用十進制輸入。

    例如輸入123.456,則表示自治系統號:123*65536+456=8061384。

    說明

    建議您使用自治系統號的私有號碼與阿里云建立BGP連接。自治系統號的私有號碼范圍請自行查閱文檔。

    加密配置

    配置

    說明

    加密配置:IKE配置

    版本

    選擇IKE協議的版本。

    • ikev1

    • ikev2(默認值)

      相對于IKEv1版本,IKEv2版本簡化了SA的協商過程并且對于多網段的場景提供了更好的支持,推薦選擇IKEv2版本。

    協商模式

    選擇協商模式。

    • main(默認值):主模式,協商過程安全性高。

    • aggressive:野蠻模式,協商快速且協商成功率高。

    協商成功后兩種模式的信息傳輸安全性相同。

    加密算法

    選擇第一階段協商使用的加密算法。

    加密算法支持aes(aes128,默認值)、aes192aes256des3des

    說明

    推薦使用aesaes192aes256加密算法,不推薦使用des3des加密算法。

    • aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。

    • 3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。

    認證算法

    選擇第一階段協商使用的認證算法。

    認證算法支持sha1(默認值)、md5sha256sha384sha512

    DH分組

    選擇第一階段協商的Diffie-Hellman密鑰交換算法。

    • group1:表示DH分組中的DH1。

    • group2(默認值):表示DH分組中的DH2。

    • group5:表示DH分組中的DH5。

    • group14:表示DH分組中的DH14。

    SA生存周期(秒)

    設置第一階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400

    LocalId

    為IPsec連接阿里云側的標識,用于第一階段的協商。默認值為IPsec連接的網關IP地址。

    該參數僅作為標識符用于在IPsec-VPN連接協商中標識阿里云,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為IPsec連接阿里云側的標識。

    如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地數據中心側IPsec連接的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    RemoteId

    為IPsec連接本地數據中心側的標識,用于第一階段的協商。默認值為用戶網關的IP地址。

    該參數僅作為標識符用于在IPsec-VPN連接協商中標識本地數據中心,無其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為IPsec連接本地數據中心側的標識。

    如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地數據中心側IPsec連接的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。

    加密配置:IPsec配置

    加密算法

    選擇第二階段協商的加密算法。

    加密算法支持aes(aes128,默認值)、aes192aes256des3des

    說明

    推薦使用aesaes192aes256加密算法,不推薦使用des3des加密算法。

    • aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小。

    • 3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。

    認證算法

    選擇第二階段協商的認證算法。

    認證算法支持sha1(默認值)、md5sha256sha384sha512

    DH分組

    選擇第二階段協商的Diffie-Hellman密鑰交換算法。

    • disabled:表示不使用DH密鑰交換算法。

      • 對于不支持PFS的客戶端請選擇disabled

      • 如果選擇為非disabled的任何一個組,會默認開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的客戶端也要開啟PFS功能。

    • group1:表示DH分組中的DH1。

    • group2(默認值):表示DH分組中的DH2。

    • group5:表示DH分組中的DH5。

    • group14:表示DH分組中的DH14。

    SA生存周期(秒)

    設置第二階段協商出的SA的生存周期。單位:秒。默認值:86400。取值范圍:0~86400

    DPD

    選擇開啟或關閉對等體存活檢測DPD(Dead Peer Detection)功能。DPD功能默認開啟。

    開啟DPD功能后,IPsec連接會發送DPD報文用來檢測對端的設備是否存活,如果在設定時間內未收到正確回應則認為對端已經斷線,IPsec連接將刪除ISAKMP SA和相應的IPsec SA,安全隧道同樣也會被刪除。DPD檢測超時后,IPsec連接會自動重新發起IPsec-VPN隧道協商。

    NAT穿越

    選擇開啟或關閉NAT(Network Address Translation)穿越功能。NAT穿越功能默認開啟。

    開啟NAT穿越功能后,IKE協商過程會刪除對UDP端口號的驗證過程,同時能幫您發現加密通信通道中的NAT網關設備。

    BGP配置

    如果您為IPsec連接開啟了BGP功能,您需要指定BGP隧道網段以及阿里云側BGP隧道IP地址。

    配置項

    說明

    隧道網段

    輸入IPsec隧道的網段。

    隧道網段需要是在169.254.0.0/16內的子網掩碼為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。

    本端BGP地址

    輸入IPsec連接阿里云側的BGP IP地址。

    該地址為隧道網段內的一個IP地址。

    健康檢查

    系統默認關閉健康檢查功能,在添加健康檢查配置前,請先打開健康檢查功能。

    重要

    為IPsec連接配置健康檢查功能后,請在本地數據中心側添加一條目標網段為源IP,子網掩碼為32位,下一跳指向IPsec連接的路由條目,以確保IPsec連接健康檢查功能正常工作。

    配置項

    說明

    目標IP

    輸入阿里云側通過IPsec連接可以訪問的本地數據中心的IP地址。

    說明

    請確保目的IP地址支持ICMP應答。

    源IP

    輸入本地數據中心通過IPsec連接可以訪問的阿里云側的IP地址。

    重試間隔

    選擇健康檢查的重試間隔時間。單位:秒。默認值:3

    重試次數

    選擇健康檢查的重試次數。默認值:3

    切換路由

    選擇健康檢查失敗后是否允許系統撤銷已發布的路由。默認值:,即健康檢查失敗后,允許系統撤銷已發布的路由。

    如果您取消選中,則健康檢查失敗后,系統不會撤銷已發布的路由。

    高級配置

    創建IPsec連接時,系統默認幫您選中以下三種高級功能。

    配置項

    說明

    自動發布路由

    開啟本功能后,系統會將轉發路由器路由表(指IPsec連接關聯的轉發路由器路由表)中的路由條目自動傳播至IPsec連接的BGP路由表中。

    說明
    • 在IPsec連接和本地數據中心之間運行BGP動態路由協議的情況下,本功能才會生效。

    • 后續您也可以通過自動發布路由功能關閉該功能。具體操作,請參見關閉路由同步

    自動關聯至轉發路由器的默認路由表

    開啟本功能后,IPsec連接會關聯至轉發路由器的默認路由表,轉發路由器會通過查詢默認路由表轉發來自IPsec連接的流量。

    自動傳播系統路由至轉發路由器的默認路由表

    開啟本功能后,系統會將IPsec連接目的路由表和BGP路由表中的路由傳播至轉發路由器的默認路由表中。

    您也可以取消選中以上高級功能,后續通過轉發路由器的多個路由功能自定義網絡連通性。具體操作,請參見路由管理

    標簽

    創建IPsec連接時支持為IPsec連接添加標簽,您可以通過標簽對IPsec連接進行標記和分類,便于資源的搜索和聚合。更多信息,請參見標簽

    配置項

    說明

    標簽鍵

    為IPsec連接添加標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。

    標簽值

    為IPsec連接添加標簽值,支持選擇已有標簽值或輸入新的標簽值。標簽值可以為空。

后續步驟

IPsec連接創建完成后,您需要下載IPsec連接對端配置并添加到本地網關設備中。具體操作,請參見下載IPsec連接對端配置配置本地網關設備

下載IPsec連接配置

創建IPsec連接后,您可以下載IPsec連接的配置,用于后續配置本地網關設備。

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。
  4. IPsec連接頁面,找到目標IPsec連接,在操作列單擊生成對端配置

  5. IPsec連接配置對話框復制配置并保存到您本地,以便用于配置本地網關設備。

    如何配置本地網關設備,請參見配置本地網關設備

IPsec連接向跨賬號的轉發路由器實例授權

IPsec連接支持與跨賬號的轉發路由器實例綁定。在IPsec連接與跨賬號的轉發路由器實例綁定前,IPsec連接需要向跨賬號的轉發路由器實例授權。

在執行授權操作前,請確保IPsec連接未綁定任何資源,如果IPsec連接已綁定轉發路由器實例,則需先解除綁定關系。具體操作,請參見刪除網絡實例連接

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。
  4. IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。

  5. 在IPsec連接詳情頁面的云企業網跨賬號授權頁簽,單擊云企業網跨賬號授權

  6. 加入云企業網對話框,根據以下信息進行配置,然后單擊確定

    配置項

    說明

    對方賬號UID

    轉發路由器實例所屬阿里云賬號(主賬號)ID。

    對方云企業網實例ID

    轉發路由器實例所屬的云企業網實例ID。

    資費承擔方式

    選擇付費方。

    • CEN用戶承擔資費(默認值):表示轉發路由器實例綁定IPsec連接后產生的轉發路由器連接費、轉發路由器流量處理費由轉發路由器實例所屬的賬號承擔。

    • VPN用戶承擔資費:表示轉發路由器實例綁定IPsec連接后產生的轉發路由器連接費、轉發路由器流量處理費由IPsec連接所屬的賬號承擔。

    重要
    • 請謹慎選擇資費承擔方。變更資費承擔方,可能會影響您的業務。更多信息,請參見變更網絡實例資費承擔方

    • 轉發路由器實例綁定IPsec連接后產生的IPsec連接實例費、IPsec連接流量費仍舊由IPsec連接所屬的賬號承擔。

  7. 記錄IPsec連接ID和IPsec連接所屬的阿里云賬號(主賬號)ID,以便后續創建VPN連接。具體操作,請參見創建VPN連接

    您可以在賬號管理頁面查看賬號ID。賬號查看

修改IPsec連接

  • 如果IPsec連接已綁定轉發路由器實例,不支持修改IPsec連接關聯的轉發路由器實例、部署的可用區以及網關類型,您可以修改IPsec連接關聯的用戶網關、路由模式、預共享密鑰、加密配置等信息。

  • 如果IPsec連接當前未綁定任何資源,不支持修改IPsec連接的網關類型,您可以修改IPsec連接的用戶網關、路由模式、預共享密鑰、加密配置等信息。

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。
  4. IPsec連接頁面,找到目標IPsec連接,在操作列單擊編輯

  5. 編輯IPsec連接頁面,修改IPsec連接的名稱、加密配置、互通網段等配置,然后單擊確定

    關于參數的詳細說明,請參見創建IPsec連接

取消IPsec連接向跨賬號轉發路由器實例的授權

如果您不再需要IPsec連接被綁定至跨賬號的轉發路由器實例,您可以取消IPsec連接向跨賬號的轉發路由器實例的授權。

如果跨賬號的轉發路由器實例已經與IPsec連接建立了綁定關系,請先解除跨賬號轉發路由器實例與網絡實例的綁定關系。具體操作,請參見刪除網絡實例連接

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。
  4. IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。

  5. 在IPsec連接詳情頁面的云企業網跨賬號授權頁簽,找到目標授權記錄,在操作列單擊取消授權

  6. 取消授權對話框,確認信息,然后單擊確定

刪除IPsec連接

如果IPsec連接綁定了轉發路由器實例,在執行操作前,請確保IPsec連接已經和轉發路由器實例解綁。具體操作,請參見刪除網絡實例連接

  1. 登錄VPN網關管理控制臺

  2. 在左側導航欄,選擇網間互聯 > VPN > IPsec連接

  3. 在頂部菜單欄,選擇IPsec連接的地域。
  4. IPsec連接頁面,找到目標IPsec連接,在操作列單擊刪除

  5. 在彈出的對話框中,確認信息,然后單擊確定

通過調用API創建和管理IPsec連接

支持通過阿里云 SDK(推薦)阿里云 CLITerraform資源編排等工具調用API創建和管理IPsec連接。相關API說明,請參見: