前提條件

• 在創(chuàng)建IPsec連接前，請(qǐng)您先了解IPsec-VPN連接的使用流程，并依據(jù)使用流程完成創(chuàng)建IPsec連接前的所有操作步驟。更多信息，請(qǐng)參見(jiàn)使用流程。

• 如果您的IPsec連接需要綁定VPN網(wǎng)關(guān)實(shí)例，且VPN網(wǎng)關(guān)實(shí)例類(lèi)型為國(guó)密型，則在創(chuàng)建IPsec連接前，您還需要滿足以下條件：

  • 您的國(guó)密型VPN網(wǎng)關(guān)已經(jīng)綁定了SSL證書(shū)。具體操作，請(qǐng)參見(jiàn)管理SSL證書(shū)。

  • 您已獲取國(guó)密型VPN網(wǎng)關(guān)對(duì)端的CA（Certification Authority）證書(shū)和對(duì)端簽名證書(shū)的主題信息。

創(chuàng)建IPsec連接

1. 登錄VPN網(wǎng)關(guān)管理控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇網(wǎng)間互聯(lián) > VPN > IPsec連接。

3. 在頂部菜單欄，選擇IPsec連接的地域。

   說(shuō)明

   IPsec連接的地域需和待綁定的VPN網(wǎng)關(guān)實(shí)例所屬的地域相同。

4. 在IPsec連接頁(yè)面，單擊創(chuàng)建IPsec連接。

5. 在創(chuàng)建IPsec連接頁(yè)面，根據(jù)以下信息配置IPsec連接，然后單擊確定。

   基本配置

   配置	說(shuō)明
   名稱(chēng)	輸入IPsec連接的名稱(chēng)。
   資源組	選擇VPN網(wǎng)關(guān)實(shí)例所屬的資源組。 如果您不選擇，系統(tǒng)直接展示所有資源組下的VPN網(wǎng)關(guān)實(shí)例。
   綁定資源	選擇IPsec連接綁定的資源類(lèi)型。請(qǐng)選擇VPN網(wǎng)關(guān)。
   VPN網(wǎng)關(guān)	選擇IPsec連接待綁定的VPN網(wǎng)關(guān)實(shí)例。
   路由模式	選擇IPsec連接的路由模式。 目的路由模式（默認(rèn)值）：基于目的IP地址路由和轉(zhuǎn)發(fā)流量。 感興趣流模式：基于源IP地址和目的IP地址精確的路由和轉(zhuǎn)發(fā)流量。 選擇感興趣流模式后，您需要配置本端網(wǎng)段和對(duì)端網(wǎng)段。IPsec連接配置完成后，系統(tǒng)自動(dòng)在VPN網(wǎng)關(guān)實(shí)例的策略路由表中添加策略路由。 系統(tǒng)在VPN網(wǎng)關(guān)實(shí)例的策略路由表中添加策略路由后，路由默認(rèn)是未發(fā)布狀態(tài)。您可以依據(jù)網(wǎng)絡(luò)互通需求決定是否將路由發(fā)布至VPC的路由表中。具體操作，請(qǐng)參見(jiàn)發(fā)布策略路由。 說(shuō)明 如果IPsec連接綁定了VPN網(wǎng)關(guān)實(shí)例，且您選擇的VPN網(wǎng)關(guān)實(shí)例為舊版VPN網(wǎng)關(guān)實(shí)例，則您無(wú)需選擇路由模式。
   本端網(wǎng)段	輸入需要和本地?cái)?shù)據(jù)中心互通的VPC側(cè)的網(wǎng)段，用于第二階段協(xié)商。 單擊文本框右側(cè)的圖標(biāo)，可添加多個(gè)需要和本地?cái)?shù)據(jù)中心互通的VPC側(cè)的網(wǎng)段。 說(shuō)明 如果您配置了多個(gè)網(wǎng)段，則后續(xù)IKE協(xié)議的版本需要選擇為ikev2。
   對(duì)端網(wǎng)段	輸入需要和VPC互通的本地?cái)?shù)據(jù)中心側(cè)的網(wǎng)段，用于第二階段協(xié)商。 單擊文本框右側(cè)的圖標(biāo)，可添加多個(gè)需要和VPC側(cè)互通的本地?cái)?shù)據(jù)中心側(cè)的網(wǎng)段。 說(shuō)明 如果您配置了多個(gè)網(wǎng)段，則后續(xù)IKE協(xié)議的版本需要選擇為ikev2。
   立即生效	選擇IPsec連接的配置是否立即生效。 是（默認(rèn)值）：配置完成后系統(tǒng)立即進(jìn)行IPsec協(xié)議協(xié)商。 否：當(dāng)有流量進(jìn)入時(shí)系統(tǒng)才進(jìn)行IPsec協(xié)議協(xié)商。
   用戶網(wǎng)關(guān)	選擇IPsec連接待關(guān)聯(lián)的用戶網(wǎng)關(guān)。
   預(yù)共享密鑰	輸入IPsec連接的認(rèn)證密鑰，用于VPN網(wǎng)關(guān)實(shí)例與本地?cái)?shù)據(jù)中心之間的身份認(rèn)證。 密鑰長(zhǎng)度為1~100個(gè)字符，支持?jǐn)?shù)字、大小寫(xiě)英文字母及右側(cè)字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?，不能包含空格。。 若您未指定預(yù)共享密鑰，系統(tǒng)會(huì)隨機(jī)生成一個(gè)16位的字符串作為預(yù)共享密鑰。創(chuàng)建IPsec連接后，您可以通過(guò)編輯按鈕查看系統(tǒng)生成的預(yù)共享密鑰。具體操作，請(qǐng)參見(jiàn)修改IPsec連接。 重要 IPsec連接兩側(cè)配置的預(yù)共享密鑰需一致，否則系統(tǒng)無(wú)法正常建立IPsec連接。
   RemoteId	輸入對(duì)端簽名證書(shū)的主題信息。格式例如： CN=z****,O=hangzhou,OU=hangzhou,C=CN 重要 主題信息僅支持輸入英文，因此請(qǐng)確保申請(qǐng)對(duì)端簽名證書(shū)時(shí)填寫(xiě)的主題信息（例如公司名稱(chēng)、部門(mén)、公司所在區(qū)域等信息）為英文。
   對(duì)端CA證書(shū)	輸入對(duì)端CA證書(shū)。 通過(guò)輸入對(duì)端CA證書(shū)，VPN網(wǎng)關(guān)實(shí)例可以在建立IPsec-VPN連接時(shí)校驗(yàn)對(duì)端證書(shū)的合法性。 如果您已經(jīng)在本地保存了對(duì)端CA證書(shū)，您可以單擊上傳證書(shū)，將已經(jīng)保存的對(duì)端CA證書(shū)上傳至阿里云。
   啟用BGP	如果IPsec連接需要使用BGP路由協(xié)議，需要打開(kāi)BGP功能的開(kāi)關(guān)，系統(tǒng)默認(rèn)關(guān)閉BGP功能。 使用BGP動(dòng)態(tài)路由功能前，建議您先了解BGP動(dòng)態(tài)路由功能工作機(jī)制和使用限制。更多信息，請(qǐng)參見(jiàn)配置BGP動(dòng)態(tài)路由。
   本端自治系統(tǒng)號(hào)	輸入IPsec連接阿里云側(cè)的自治系統(tǒng)號(hào)。默認(rèn)值：45104。自治系統(tǒng)號(hào)取值范圍：1~4294967295。 支持按照兩段位的格式進(jìn)行輸入，即：前16位比特.后16位比特。每個(gè)段位使用十進(jìn)制輸入。 例如輸入123.456，則表示自治系統(tǒng)號(hào)：123*65536+456=8061384。 說(shuō)明 建議您使用自治系統(tǒng)號(hào)的私有號(hào)碼與阿里云建立BGP連接。自治系統(tǒng)號(hào)的私有號(hào)碼范圍請(qǐng)自行查閱文檔。

   加密配置

   配置	說(shuō)明
   加密配置：IKE配置
   版本	選擇IKE協(xié)議的版本。 ikev1 如果VPN網(wǎng)關(guān)類(lèi)型為國(guó)密型，則IKE版本僅支持ikev1。 ikev2（默認(rèn)值） 相對(duì)于IKEv1版本，IKEv2版本簡(jiǎn)化了SA的協(xié)商過(guò)程并且對(duì)于多網(wǎng)段的場(chǎng)景提供了更好的支持，推薦選擇IKEv2版本。
   協(xié)商模式	選擇協(xié)商模式。 main（默認(rèn)值）：主模式，協(xié)商過(guò)程安全性高。 如果VPN網(wǎng)關(guān)類(lèi)型為國(guó)密型，則協(xié)商模式僅支持main。 aggressive：野蠻模式，協(xié)商快速且協(xié)商成功率高。 協(xié)商成功后兩種模式的信息傳輸安全性相同。
   加密算法	選擇第一階段協(xié)商使用的加密算法。 普通型VPN網(wǎng)關(guān)支持aes（默認(rèn)值）、aes192、aes256、des和3des。 國(guó)密型VPN網(wǎng)關(guān)支持sm4（默認(rèn)值）。 說(shuō)明 如果VPN網(wǎng)關(guān)實(shí)例的帶寬規(guī)格為200 Mbps及以上，推薦使用aes、aes192、aes256加密算法，不推薦使用3des加密算法。 aes是一種對(duì)稱(chēng)密鑰加密算法，提供高強(qiáng)度的加密和解密，在保證數(shù)據(jù)安全傳輸?shù)耐瑫r(shí)對(duì)網(wǎng)絡(luò)延遲、吞吐量、轉(zhuǎn)發(fā)性能影響較小。 3des是三重?cái)?shù)據(jù)加密算法，加密時(shí)間較長(zhǎng)且算法復(fù)雜度較高，運(yùn)算量較大，相比aes會(huì)降低轉(zhuǎn)發(fā)性能。
   認(rèn)證算法	選擇第一階段協(xié)商使用的認(rèn)證算法。 普通型VPN網(wǎng)關(guān)支持sha1（默認(rèn)值）、md5、sha256、sha384和sha512。 國(guó)密型VPN網(wǎng)關(guān)支持sm3（默認(rèn)值）。 說(shuō)明 在部分本地網(wǎng)關(guān)設(shè)備上添加VPN配置時(shí)，可能需要指定PRF算法，PRF算法與IKE階段認(rèn)證算法保持一致即可。
   DH分組	選擇第一階段協(xié)商的Diffie-Hellman密鑰交換算法。 group1：表示DH分組中的DH1。 group2（默認(rèn)值）：表示DH分組中的DH2。 group5：表示DH分組中的DH5。 group14：表示DH分組中的DH14。
   SA生存周期（秒）	設(shè)置第一階段協(xié)商出的SA的生存周期。單位：秒。默認(rèn)值：86400。取值范圍：0~86400。
   LocalId	輸入IPsec連接阿里云側(cè)的標(biāo)識(shí)。默認(rèn)值為VPN網(wǎng)關(guān)實(shí)例的IP地址。 該參數(shù)僅作為標(biāo)識(shí)符用于在IPsec-VPN連接協(xié)商中標(biāo)識(shí)阿里云，無(wú)其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式。不能包含空格。推薦使用私網(wǎng)IP地址作為IPsec連接阿里云側(cè)的標(biāo)識(shí)。 如果LocalId使用了FQDN格式，例如輸入example.aliyun.com，則本地?cái)?shù)據(jù)中心側(cè)IPsec連接的對(duì)端ID需與LocalId的值保持一致，協(xié)商模式建議選擇為aggressive（野蠻模式）。
   RemoteId	輸入IPsec連接本地?cái)?shù)據(jù)中心側(cè)的標(biāo)識(shí)。默認(rèn)值為用戶網(wǎng)關(guān)的IP地址。 該參數(shù)僅作為標(biāo)識(shí)符用于在IPsec-VPN連接協(xié)商中標(biāo)識(shí)本地?cái)?shù)據(jù)中心，無(wú)其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式，不能包含空格。推薦使用私網(wǎng)IP地址作為IPsec連接本地?cái)?shù)據(jù)中心側(cè)的標(biāo)識(shí)。 如果RemoteId使用了FQDN格式，例如輸入example.aliyun.com，則本地?cái)?shù)據(jù)中心側(cè)IPsec連接的本端ID需與RemoteId的值保持一致，協(xié)商模式建議選擇為aggressive（野蠻模式）。
   加密配置：IPsec配置
   加密算法	選擇第二階段協(xié)商的加密算法。 普通型VPN網(wǎng)關(guān)支持aes（默認(rèn)值）、aes192、aes256、des和3des。 國(guó)密型VPN網(wǎng)關(guān)支持sm4（默認(rèn)值）。 說(shuō)明 如果VPN網(wǎng)關(guān)實(shí)例的帶寬規(guī)格為200 Mbps及以上，推薦使用aes、aes192、aes256加密算法，不推薦使用3des加密算法。 aes是一種對(duì)稱(chēng)密鑰加密算法，提供高強(qiáng)度的加密和解密，在保證數(shù)據(jù)安全傳輸?shù)耐瑫r(shí)對(duì)網(wǎng)絡(luò)延遲、吞吐量、轉(zhuǎn)發(fā)性能影響較小。 3des是三重?cái)?shù)據(jù)加密算法，加密時(shí)間較長(zhǎng)且算法復(fù)雜度較高，運(yùn)算量較大，相比aes會(huì)降低轉(zhuǎn)發(fā)性能。
   認(rèn)證算法	選擇第二階段協(xié)商的認(rèn)證算法。 普通型VPN網(wǎng)關(guān)支持sha1（默認(rèn)值）、md5、sha256、sha384和sha512。 國(guó)密型VPN網(wǎng)關(guān)支持sm3（默認(rèn)值）。
   DH分組	選擇第二階段協(xié)商的Diffie-Hellman密鑰交換算法。 disabled：表示不使用DH密鑰交換算法。 對(duì)于不支持PFS的客戶端請(qǐng)選擇disabled。 如果選擇為非disabled的任何一個(gè)組，會(huì)默認(rèn)開(kāi)啟完美向前加密PFS（Perfect Forward Secrecy）功能，使得每次重協(xié)商都要更新密鑰，因此，相應(yīng)的客戶端也要開(kāi)啟PFS功能。 group1：表示DH分組中的DH1。 group2（默認(rèn)值）：表示DH分組中的DH2。 group5：表示DH分組中的DH5。 group14：表示DH分組中的DH14。
   SA生存周期（秒）	設(shè)置第二階段協(xié)商出的SA的生存周期。單位：秒。默認(rèn)值：86400。取值范圍：0~86400。
   DPD	選擇開(kāi)啟或關(guān)閉對(duì)等體存活檢測(cè)功能。DPD功能默認(rèn)開(kāi)啟。 對(duì)于在2019年04月至2023年01月期間創(chuàng)建的VPN網(wǎng)關(guān)實(shí)例： 如果創(chuàng)建IPsec連接時(shí)使用IKEv1版本，DPD報(bào)文的超時(shí)時(shí)間為30秒。 如果創(chuàng)建IPsec連接時(shí)使用IKEv2版本，DPD報(bào)文的超時(shí)時(shí)間為3600秒。 對(duì)于在2023年02月之后創(chuàng)建的VPN網(wǎng)關(guān)實(shí)例： 如果創(chuàng)建IPsec連接時(shí)使用IKEv1版本，DPD報(bào)文的超時(shí)時(shí)間為30秒。 如果創(chuàng)建IPsec連接時(shí)使用IKEv2版本，DPD報(bào)文的超時(shí)時(shí)間為130秒。
   NAT穿越	選擇開(kāi)啟或關(guān)閉NAT穿越功能。NAT穿越功能默認(rèn)開(kāi)啟。

   BGP配置

   如果您為IPsec連接開(kāi)啟了BGP功能，您需要指定BGP隧道網(wǎng)段以及阿里云側(cè)BGP隧道IP地址。

   配置項(xiàng)	說(shuō)明
   隧道網(wǎng)段	輸入IPsec隧道的網(wǎng)段。 該網(wǎng)段需要是在169.254.0.0/16內(nèi)的子網(wǎng)掩碼為30的網(wǎng)段，且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
   本端BGP地址	輸入IPsec連接阿里云側(cè)的BGP IP地址。 該地址為隧道網(wǎng)段內(nèi)的一個(gè)IP地址。

   健康檢查

   系統(tǒng)默認(rèn)關(guān)閉健康檢查功能，在添加健康檢查配置前，請(qǐng)先打開(kāi)健康檢查功能。

   重要

   為IPsec連接配置健康檢查功能后，請(qǐng)?jiān)诒镜財(cái)?shù)據(jù)中心側(cè)添加一條目標(biāo)網(wǎng)段為源IP，子網(wǎng)掩碼為32位，下一跳指向IPsec連接的路由條目，以確保IPsec連接健康檢查功能正常工作。

   配置項(xiàng)	說(shuō)明
   目標(biāo)IP	輸入VPC側(cè)通過(guò)IPsec連接可以訪問(wèn)的本地?cái)?shù)據(jù)中心的IP地址。 說(shuō)明 請(qǐng)確保目的IP地址支持ICMP應(yīng)答。
   源IP	輸入本地?cái)?shù)據(jù)中心通過(guò)IPsec連接可以訪問(wèn)的VPC側(cè)的IP地址。
   重試間隔	選擇健康檢查的重試間隔時(shí)間。單位：秒。默認(rèn)值：3。
   重試次數(shù)	選擇健康檢查的重試次數(shù)。默認(rèn)值：3。

   標(biāo)簽

   創(chuàng)建IPsec連接時(shí)支持為IPsec連接添加標(biāo)簽，您可以通過(guò)標(biāo)簽對(duì)IPsec連接進(jìn)行標(biāo)記和分類(lèi)，便于資源的搜索和聚合。更多信息，請(qǐng)參見(jiàn)標(biāo)簽。

   配置項(xiàng)	說(shuō)明
   標(biāo)簽鍵	為IPsec連接添加標(biāo)簽鍵，支持選擇已有標(biāo)簽鍵或輸入新的標(biāo)簽鍵。
   標(biāo)簽值	為IPsec連接添加標(biāo)簽值，支持選擇已有標(biāo)簽值或輸入新的標(biāo)簽值。標(biāo)簽值可以為空。

6. 在彈出的對(duì)話框中，單擊確定。

后續(xù)步驟

IPsec連接創(chuàng)建完成后，您需要下載IPsec連接對(duì)端配置并添加在本地網(wǎng)關(guān)設(shè)備中。具體操作，請(qǐng)參見(jiàn)下載IPsec連接配置和配置本地網(wǎng)關(guān)設(shè)備。

下載IPsec連接配置

創(chuàng)建IPsec連接后，您可以下載IPsec連接的配置，用于后續(xù)配置本地網(wǎng)關(guān)設(shè)備。

1. 登錄VPN網(wǎng)關(guān)管理控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇網(wǎng)間互聯(lián) > VPN > IPsec連接。

3. 在頂部菜單欄，選擇IPsec連接的地域。

4. 在IPsec連接頁(yè)面，找到目標(biāo)IPsec連接，在操作列單擊生成對(duì)端配置。

5. 在IPsec連接配置對(duì)話框復(fù)制配置并保存到您本地，以便用于配置本地網(wǎng)關(guān)設(shè)備。

   如何配置本地網(wǎng)關(guān)設(shè)備，請(qǐng)參見(jiàn)配置本地網(wǎng)關(guān)設(shè)備。

修改IPsec連接

不支持修改IPsec連接關(guān)聯(lián)的VPN網(wǎng)關(guān)和用戶網(wǎng)關(guān)，您可以修改IPsec連接的路由模式、預(yù)共享密鑰、加密配置等信息。

1. 登錄VPN網(wǎng)關(guān)管理控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇網(wǎng)間互聯(lián) > VPN > IPsec連接。

3. 在頂部菜單欄，選擇IPsec連接的地域。

4. 在IPsec連接頁(yè)面，找到目標(biāo)IPsec連接，在操作列單擊編輯。

5. 在編輯IPsec連接頁(yè)面，修改IPsec連接的名稱(chēng)、加密配置、互通網(wǎng)段等配置，然后單擊確定。

   關(guān)于參數(shù)的詳細(xì)說(shuō)明，請(qǐng)參見(jiàn)創(chuàng)建IPsec連接。

刪除IPsec連接

1. 登錄VPN網(wǎng)關(guān)管理控制臺(tái)。

2. 在左側(cè)導(dǎo)航欄，選擇網(wǎng)間互聯(lián) > VPN > IPsec連接。

3. 在頂部菜單欄，選擇IPsec連接的地域。

4. 在IPsec連接頁(yè)面，找到目標(biāo)IPsec連接，在操作列單擊刪除。

5. 在彈出的對(duì)話框中，確認(rèn)信息，然后單擊確定。

通過(guò)調(diào)用API創(chuàng)建和管理IPsec連接

支持通過(guò)阿里云 SDK（推薦）、阿里云 CLI、Terraform、資源編排等工具調(diào)用API創(chuàng)建和管理IPsec連接。相關(guān)API說(shuō)明，請(qǐng)參見(jiàn)：

• CreateVpnConnection - 創(chuàng)建IPsec連接

• DeleteVpnConnection - 刪除指定的IPsec連接

• ModifyVpnConnectionAttribute - 修改IPsec連接的配置信息

• DescribeVpnConnection - 查詢已創(chuàng)建的IPsec連接的詳細(xì)信息

• DescribeVpnConnections - 查詢已創(chuàng)建的IPsec連接

• DownloadVpnConnectionConfig - 獲取IPsec連接的配置信息