前提條件

• 雙隧道模式的IPsec-VPN連接功能公測中，在使用前，請確保您已經(jīng)向客戶經(jīng)理申請了使用權(quán)限。

• 創(chuàng)建雙隧道模式IPsec連接前，建議您先了解雙隧道模式IPsec-VPN連接支持的地域信息以及組網(wǎng)說明。更多信息，請參見綁定轉(zhuǎn)發(fā)路由器場景雙隧道IPsec-VPN連接說明。

• 在創(chuàng)建IPsec連接前，請您先了解IPsec-VPN連接的使用流程，并依據(jù)使用流程完成創(chuàng)建IPsec連接前的所有操作步驟。更多信息，請參見使用流程。

創(chuàng)建IPsec連接

1. 登錄VPN網(wǎng)關(guān)管理控制臺。

2. 在左側(cè)導航欄，選擇網(wǎng)間互聯(lián) > VPN > IPsec連接。

3. 在頂部菜單欄，選擇IPsec連接的地域。

   IPsec連接的地域需和待綁定的轉(zhuǎn)發(fā)路由器實例所屬的地域相同。

4. 在IPsec連接頁面，單擊創(chuàng)建IPsec連接。

5. 在創(chuàng)建IPsec連接頁面，根據(jù)以下信息配置IPsec連接，然后單擊確定。

   基本配置

   說明

   在您創(chuàng)建第一個VPN網(wǎng)關(guān)實例或第一個IPsec連接（指IPsec連接綁定轉(zhuǎn)發(fā)路由器的場景）時，系統(tǒng)將自動創(chuàng)建服務關(guān)聯(lián)角色AliyunServiceRoleForVpn，該服務關(guān)聯(lián)角色允許VPN網(wǎng)關(guān)對彈性網(wǎng)卡、安全組等資源進行操作，以便您可以成功創(chuàng)建VPN網(wǎng)關(guān)實例或IPsec連接。如果您的賬號下已存在該服務關(guān)聯(lián)角色，系統(tǒng)則不會重復創(chuàng)建。關(guān)于AliyunServiceRoleForVpn的更多信息，請參見AliyunServiceRoleForVpn。

   配置	說明
   名稱	輸入IPsec連接的名稱。
   資源組	選擇云企業(yè)網(wǎng)實例所屬的資源組。 如果您不選擇，系統(tǒng)直接展示所有資源組下的云企業(yè)網(wǎng)實例。
   綁定資源	選擇IPsec連接綁定的資源類型。請選擇云企業(yè)網(wǎng)或者不綁定。 如果您選擇云企業(yè)網(wǎng)，則系統(tǒng)在創(chuàng)建IPsec連接的過程中直接將IPsec綁定至您指定的同賬號的轉(zhuǎn)發(fā)路由器實例。 如果您選擇不綁定，則IPsec連接被創(chuàng)建后不會綁定任何資源。后續(xù)您可以在云企業(yè)網(wǎng)CEN（Cloud Enterprise Network）管理控制臺將該IPsec連接綁定至同賬號或者跨賬號的轉(zhuǎn)發(fā)路由器實例。具體操作，請參見創(chuàng)建VPN連接。 說明 如果您需要更換IPsec連接綁定的轉(zhuǎn)發(fā)路由器實例，您需要先在原轉(zhuǎn)發(fā)路由器實例下卸載VPN連接，然后在目標轉(zhuǎn)發(fā)路由器下重新創(chuàng)建VPN連接。具體操作，請參見刪除網(wǎng)絡實例連接和創(chuàng)建VPN連接。
   網(wǎng)關(guān)類型	選擇IPsec連接的網(wǎng)絡類型。 公網(wǎng)（默認值）：表示通過公網(wǎng)建立IPsec-VPN連接。 私網(wǎng)：表示基于私網(wǎng)建立IPsec-VPN連接，實現(xiàn)私網(wǎng)流量的加密通信。
   云企業(yè)網(wǎng)實例ID	選擇轉(zhuǎn)發(fā)路由器實例所屬的云企業(yè)網(wǎng)實例。 說明 僅當綁定資源選擇為云企業(yè)網(wǎng)時需要配置該項。
   轉(zhuǎn)發(fā)路由器	系統(tǒng)直接展示云企業(yè)網(wǎng)實例在該地域創(chuàng)建的轉(zhuǎn)發(fā)路由器實例ID。
   路由模式	選擇IPsec連接的路由模式。 目的路由模式（默認值）：基于目的IP地址路由和轉(zhuǎn)發(fā)流量。 感興趣流模式：基于源IP地址和目的IP地址精確地路由和轉(zhuǎn)發(fā)流量。 選擇感興趣流模式后，您需要配置本端網(wǎng)段和對端網(wǎng)段。IPsec連接配置完成后，系統(tǒng)自動在IPsec連接下的目的路由表中添加目的路由，路由默認會被發(fā)布至IPsec連接關(guān)聯(lián)的轉(zhuǎn)發(fā)路由器的路由表中。
   本端網(wǎng)段	輸入需要和本地數(shù)據(jù)中心互通的阿里云側(cè)的網(wǎng)段，用于第二階段協(xié)商。 單擊文本框右側(cè)的圖標，可添加多個需要和本地數(shù)據(jù)中心互通的阿里云側(cè)的網(wǎng)段。 說明 如果您配置了多個網(wǎng)段，則后續(xù)IKE協(xié)議的版本需要選擇為ikev2。
   對端網(wǎng)段	輸入需要和阿里云互通的本地數(shù)據(jù)中心側(cè)的網(wǎng)段，用于第二階段協(xié)商。 單擊文本框右側(cè)的圖標，可添加多個需要和阿里云側(cè)互通的本地數(shù)據(jù)中心側(cè)的網(wǎng)段。 說明 如果您配置了多個網(wǎng)段，則后續(xù)IKE協(xié)議的版本需要選擇為ikev2。
   立即生效	選擇IPsec連接的配置是否立即生效。 是（默認值）：配置完成后系統(tǒng)立即進行IPsec協(xié)議協(xié)商。 否：當有流量進入時系統(tǒng)才進行IPsec協(xié)議協(xié)商。
   啟用BGP	如果IPsec連接需要使用BGP路由協(xié)議，需要打開BGP功能的開關(guān)，系統(tǒng)默認關(guān)閉BGP功能。 使用BGP動態(tài)路由功能前，請確保您本地網(wǎng)關(guān)設備支持BGP功能，同時建議您先了解BGP動態(tài)路由功能工作機制和使用限制。更多信息，請參見配置BGP動態(tài)路由。
   本端自治系統(tǒng)號	如果IPsec連接啟用了BGP功能，需輸入IPsec連接阿里云側(cè)的自治系統(tǒng)號。默認值：45104。自治系統(tǒng)號取值范圍：1~4294967295。 支持按照兩段位的格式進行輸入，即：前16位比特.后16位比特。每個段位使用十進制輸入。 例如輸入123.456，則表示自治系統(tǒng)號：123*65536+456=8061384。 說明 建議您使用自治系統(tǒng)號的私有號碼與阿里云建立BGP連接。自治系統(tǒng)號的私有號碼范圍請自行查閱文檔。

   隧道配置

   重要

   創(chuàng)建雙隧道模式的IPsec連接時，請配置兩條隧道使其均為可用狀態(tài)，如果您僅配置或僅使用了其中一條隧道，則無法體驗IPsec-VPN連接鏈路冗余能力以及可用區(qū)級別的容災能力。

   配置	說明
   用戶網(wǎng)關(guān)	選擇隧道待關(guān)聯(lián)的用戶網(wǎng)關(guān)。
   預共享密鑰	輸入隧道的認證密鑰，用于隧道與隧道對端之間的身份認證。 密鑰長度為1~100個字符，支持數(shù)字、大小寫英文字母及右側(cè)字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?，不能包含空格。 若您未指定預共享密鑰，系統(tǒng)會隨機生成一個16位的字符串作為預共享密鑰。創(chuàng)建IPsec連接后，您可以通過隧道的編輯按鈕查看系統(tǒng)生成的預共享密鑰。具體操作，請參見修改隧道的配置。 重要 隧道及隧道對端的預共享密鑰需一致，否則系統(tǒng)無法正常建立隧道。

   加密配置

   配置	說明
   加密配置：IKE配置
   版本	選擇IKE協(xié)議的版本。 ikev1 ikev2（默認值） 相對于IKEv1版本，IKEv2版本簡化了SA的協(xié)商過程并且對于多網(wǎng)段的場景提供了更好的支持，推薦選擇IKEv2版本。
   協(xié)商模式	選擇協(xié)商模式。 main（默認值）：主模式，協(xié)商過程安全性高。 aggressive：野蠻模式，協(xié)商快速且協(xié)商成功率高。 協(xié)商成功后兩種模式的信息傳輸安全性相同。
   加密算法	選擇第一階段協(xié)商使用的加密算法。 加密算法支持aes（aes128，默認值）、aes192、aes256、des和3des。 說明 推薦使用aes、aes192、aes256加密算法，不推薦使用des、3des加密算法。 aes是一種對稱密鑰加密算法，提供高強度的加密和解密，在保證數(shù)據(jù)安全傳輸?shù)耐瑫r對網(wǎng)絡延遲、吞吐量、轉(zhuǎn)發(fā)性能影響較小。 3des是三重數(shù)據(jù)加密算法，加密時間較長且算法復雜度較高，運算量較大，相比aes會降低轉(zhuǎn)發(fā)性能。
   認證算法	選擇第一階段協(xié)商使用的認證算法。 認證算法支持sha1（默認值）、md5、sha256、sha384和sha512。 說明 在部分本地網(wǎng)關(guān)設備上添加VPN配置時，可能需要指定PRF算法，PRF算法與IKE階段認證算法保持一致即可。
   DH分組	選擇第一階段協(xié)商的Diffie-Hellman密鑰交換算法。 group1：表示DH分組中的DH1。 group2（默認值）：表示DH分組中的DH2。 group5：表示DH分組中的DH5。 group14：表示DH分組中的DH14。
   SA生存周期（秒）	設置第一階段協(xié)商出的SA的生存周期。單位：秒。默認值：86400。取值范圍：0~86400。
   LocalId	輸入隧道本端的標識符，用于第一階段的協(xié)商。默認值為隧道的網(wǎng)關(guān)IP地址。 該參數(shù)僅作為標識符用于在IPsec-VPN連接協(xié)商中標識阿里云，無其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式，不能包含空格。推薦使用私網(wǎng)IP地址作為隧道本端的標識。 如果LocalId使用了FQDN格式，例如輸入example.aliyun.com，則本地網(wǎng)關(guān)設備上IPsec連接的對端ID需與LocalId的值保持一致，協(xié)商模式建議選擇為aggressive（野蠻模式）。
   RemoteId	輸入隧道對端的標識符，用于第一階段的協(xié)商。默認值使用隧道關(guān)聯(lián)的用戶網(wǎng)關(guān)中的IP地址作為隧道對端標識符。 該參數(shù)僅作為標識符用于在IPsec-VPN連接協(xié)商中標識本地網(wǎng)關(guān)設備，無其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式，不能包含空格。推薦使用私網(wǎng)IP地址作為隧道對端的標識。 如果RemoteId使用了FQDN格式，例如輸入example.aliyun.com，則本地網(wǎng)關(guān)設備上本端ID需與RemoteId的值保持一致，協(xié)商模式建議選擇為aggressive（野蠻模式）。
   加密配置：IPsec配置
   加密算法	選擇第二階段協(xié)商的加密算法。 加密算法支持aes（aes128，默認值）、aes192、aes256、des和3des。 說明 推薦使用aes、aes192、aes256加密算法，不推薦使用des、3des加密算法。 aes是一種對稱密鑰加密算法，提供高強度的加密和解密，在保證數(shù)據(jù)安全傳輸?shù)耐瑫r對網(wǎng)絡延遲、吞吐量、轉(zhuǎn)發(fā)性能影響較小。 3des是三重數(shù)據(jù)加密算法，加密時間較長且算法復雜度較高，運算量較大，相比aes會降低轉(zhuǎn)發(fā)性能。
   認證算法	選擇第二階段協(xié)商的認證算法。 認證算法支持sha1（默認值）、md5、sha256、sha384和sha512。
   DH分組	選擇第二階段協(xié)商的Diffie-Hellman密鑰交換算法。 disabled：表示不使用DH密鑰交換算法。 如果隧道對端的本地網(wǎng)關(guān)設備不支持PFS，請選擇disabled。 如果選擇為非disabled的任何一個組，會默認開啟完美向前加密PFS（Perfect Forward Secrecy）功能，使得每次重協(xié)商都要更新密鑰，因此，相應的隧道對端的本地網(wǎng)關(guān)設備也要開啟PFS功能。 group1：表示DH分組中的DH1。 group2（默認值）：表示DH分組中的DH2。 group5：表示DH分組中的DH5。 group14：表示DH分組中的DH14。
   SA生存周期（秒）	設置第二階段協(xié)商出的SA的生存周期。單位：秒。默認值：86400。取值范圍：0~86400。
   DPD	選擇開啟或關(guān)閉對等體存活檢測DPD（Dead Peer Detection）功能。DPD功能默認開啟。 開啟DPD功能后，IPsec連接會發(fā)送DPD報文用來檢測對端的設備是否存活，如果在設定時間內(nèi)未收到正確回應則認為對端已經(jīng)斷線，IPsec連接將刪除ISAKMP SA和相應的IPsec SA，安全隧道同樣也會被刪除。DPD檢測超時后，IPsec連接會自動重新發(fā)起IPsec-VPN隧道協(xié)商。 如果隧道使用IKEv1版本，DPD報文的超時時間為30秒。 如果隧道使用IKEv2版本，DPD報文的超時時間為130秒。
   NAT穿越	選擇開啟或關(guān)閉NAT（Network Address Translation）穿越功能。NAT穿越功能默認開啟。 開啟NAT穿越功能后，IKE協(xié)商過程會刪除對UDP端口號的驗證過程，同時能幫您發(fā)現(xiàn)加密通信通道中的NAT網(wǎng)關(guān)設備。

   BGP配置

   如果您已經(jīng)打開了IPsec連接的BGP功能，您可以根據(jù)以下信息指定BGP隧道網(wǎng)段以及阿里云側(cè)BGP隧道IP地址。如果您未打開IPsec連接的BGP功能，您可以在創(chuàng)建IPsec連接后單獨為隧道開啟BGP功能并添加相應配置。具體操作，請參見單獨為隧道開啟BGP功能。

   配置項	說明
   隧道網(wǎng)段	輸入隧道網(wǎng)段。 隧道網(wǎng)段需要是在169.254.0.0/16內(nèi)的子網(wǎng)掩碼為30的網(wǎng)段，且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。 說明 一個IPsec連接下兩條隧道的隧道網(wǎng)段不能相同。
   本端BGP地址	輸入隧道本端的BGP IP地址。 該地址為隧道網(wǎng)段內(nèi)的一個IP地址。

   高級配置

   創(chuàng)建IPsec連接時，系統(tǒng)默認幫您選中以下三種高級功能。

   配置項	說明
   自動發(fā)布路由	開啟本功能后，系統(tǒng)會將轉(zhuǎn)發(fā)路由器路由表（指IPsec連接關(guān)聯(lián)的轉(zhuǎn)發(fā)路由器路由表）中的路由條目自動傳播至IPsec連接的BGP路由表中。 說明 在IPsec連接和本地數(shù)據(jù)中心之間運行BGP動態(tài)路由協(xié)議的情況下，本功能才會生效。 后續(xù)您也可以通過自動發(fā)布路由功能關(guān)閉該功能。具體操作，請參見關(guān)閉路由同步。
   自動關(guān)聯(lián)至轉(zhuǎn)發(fā)路由器的默認路由表	開啟本功能后，IPsec連接會關(guān)聯(lián)至轉(zhuǎn)發(fā)路由器的默認路由表，轉(zhuǎn)發(fā)路由器會通過查詢默認路由表轉(zhuǎn)發(fā)來自IPsec連接的流量。
   自動傳播系統(tǒng)路由至轉(zhuǎn)發(fā)路由器的默認路由表	開啟本功能后，系統(tǒng)會將IPsec連接目的路由表和BGP路由表中的路由傳播至轉(zhuǎn)發(fā)路由器的默認路由表中。

   您也可以取消選中以上高級功能，后續(xù)通過轉(zhuǎn)發(fā)路由器的多個路由功能自定義網(wǎng)絡連通性。具體操作，請參見路由管理。

   標簽

   創(chuàng)建IPsec連接時支持為IPsec連接添加標簽，您可以通過標簽對IPsec連接進行標記和分類，便于資源的搜索和聚合。更多信息，請參見標簽。

   配置項	說明
   標簽鍵	為IPsec連接添加標簽鍵，支持選擇已有標簽鍵或輸入新的標簽鍵。
   標簽值	為IPsec連接添加標簽值，支持選擇已有標簽值或輸入新的標簽值。標簽值可以為空。

后續(xù)步驟

IPsec連接創(chuàng)建完成后，您需要下載IPsec連接對端配置并添加到本地網(wǎng)關(guān)設備中。具體操作，請參見下載IPsec連接對端配置和本地網(wǎng)關(guān)設備配置示例。

查看IPsec連接隧道信息

創(chuàng)建IPsec連接后，您可以在IPsec連接詳情頁面下查看兩條隧道的狀態(tài)和信息。

1. 登錄VPN網(wǎng)關(guān)管理控制臺。

2. 在左側(cè)導航欄，選擇網(wǎng)間互聯(lián) > VPN > IPsec連接。

3. 在頂部菜單欄，選擇IPsec連接的地域。

4. 在IPsec連接頁面，找到目標IPsec連接，單擊IPsec連接ID。

5. 在IPsec連接詳情頁面，查看IPsec連接下兩條隧道的狀態(tài)和信息。

   字段	說明
   Tunnel/Tunnel ID	隧道ID。
   網(wǎng)關(guān)IP	系統(tǒng)為隧道分配的網(wǎng)關(guān)IP地址，用于建立加密隧道。
   隧道網(wǎng)段	如果隧道開啟了BGP動態(tài)路由功能，則該字段顯示為隧道使用的BGP隧道網(wǎng)段。
   本端BGP地址	如果隧道開啟了BGP動態(tài)路由功能，則該字段顯示為阿里云側(cè)使用的BGP IP地址。
   連接狀態(tài)	隧道的IPsec-VPN協(xié)商狀態(tài)。 如果IPsec-VPN協(xié)商成功，控制臺會顯示第二階段協(xié)商成功。 如果IPsec-VPN未能協(xié)商成功，控制臺會給出相應提示，您可以根據(jù)提示排查未協(xié)商成功的原因。相關(guān)解決方案，請參見自主排查IPsec-VPN連接問題。
   用戶網(wǎng)關(guān)	隧道關(guān)聯(lián)的用戶網(wǎng)關(guān)實例。 用戶網(wǎng)關(guān)實例中包含了本地數(shù)據(jù)中心側(cè)使用的IP地址和BGP AS號。
   狀態(tài)	隧道運行狀態(tài)。 正常 更新中 刪除中