通过新建IPsec接入,配置本端(VPC)网络、客户端网络、IKE阶段和IPsec阶段的相关参数,连通VPC网关所在的VPC网段和客户端网段。
请提前创建VPN网关和客户端网关。
一个VPN网关可以与一个或多个客户端网关建立VPN连接。
建立VPN连接的本端网段和对端网段不能重叠。
VPC内所应用的安全组规则需允许与对端互相访问。
在左边导航栏中,单击[产品与服务/网络/VPN网关]菜单项,进入VPN网关列表页面。
在左边的导航树,选择[VPN网关/IPSEC接入]菜单项,进入IPSec接入列表页面。
单击<新建IPSec接入>按钮,弹出新建IPSec接入对话框。
配置相关参数,请参见参数说明。
单击<确认>按钮,完成操作。
|
参数 |
说明 |
|
名称 |
按照页面提示规则,输入IPSEC接入的名称。 |
|
VPN网关 |
选择已经创建的VPN网关,该网关所在的VPC是IPsec连接的一端。 |
|
VPC |
VPN网关所在的VPC。在选择VPN网关后将自动填入。 |
|
本端网段 |
选择当前VPC的子网,该子网内的弹性云主机可以通过VPN与客户端网段进行通信。该子网不一定是VPN网关所在子网,只是所属同一个VPC。 |
|
客户端网关 |
选择已经创建的客户端网关。 |
|
客户端网段 |
客户端的网段,在选择客户端网关后系统自动填入。IPSec接入成功后,这些网段将与VPC的本端网段通过VPN互通。 |
|
预共享密钥 |
IPsec连接双方进行身份认证时使用的预共享密钥,该密钥由用户自定义,IKE协议将使用此预共享密钥进行加密得出IKE密钥并建立IKE SA;需要确保本端和客户端一侧的预共享秘钥一致,否则会导致IKE协商失败。 |
|
IKE版本 |
指定IKE版本,当前仅支持IKEv1。 |
|
协商模式 |
当前仅支持IKE主模式。 |
|
本端ID |
指定本端的ID,用于在IKE认证协商阶段向对端标识自己的身份。可以选择IP地址或设置FQDN。 |
|
对端ID |
指定客户端的ID,用于在IKE认证协商阶段识别对端的身份。可以选择IP地址或FQDN。 当选择IP地址时,系统自动填入客户端网关公网IP地址。 |
|
加密算法 |
指定IKE协商阶段使用的加密算法。隧道两端必须指定相同的加密算法才能协商成功。 |
|
认证算法 |
指定IKE协商阶段使用的认证算法。隧道两端必须指定相同的认证算法才能协商成功。 |
|
DH算法 |
指定IKE协商阶段使用的Diffie-Hellman密钥交换参数。隧道两端必须指定相同的Diffie-Hellman密钥交换参数,才能协商成功。 从DH group 1到DH group 24,随着位数的增加其安全性依次递增,处理速度依次递减。请根据实际组网环境中对安全性和性能的要求选择合适的DH group。 |
|
生命周期 |
IKE SA的存活时间,为固定值86400秒。 在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。 |
|
传输协议 |
指定IPSec协商使用的安全传输协议,支持ESP和ESP_AH两种。AH提供认证功能,ESP既提供认证功能又提供加密功能,ESP_AH既提供认证功能又提供加密功能,且安全性更强。 |
|
封装模式 |
IPSec封装模式,目前仅支持用于保护站点到站点(Site-to-Site)安全性的隧道模式。 |
|
加密算法 |
指定IPSec协商使用的加密算法。隧道两端必须指定相同的加密算法才能协商成功。 |
|
认证算法 |
指定IPSec协商使用的认证算法。隧道两端必须指定相同的认证算法才能协商成功。 |
|
PFS |
指定在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。从Group_1到Group_24,随着位数的增加其算法的强度递增,即安全性和需要计算的时间依次递增。 IKEv1协商时发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。 |
|
生命周期 |
设置IPSec SA的生存时间。缺省为86400秒。 在指定的IPSec SA存活时间超时前,设备会提前协商另一个IPSec SA来替换旧的IPSec SA。在新的IPSec SA还没有协商完之前,依然使用旧的IPSec SA;在新的IPSec SA建立后,将立即使用新的IPSec SA,而旧的IPSec SA在存活时间超时后,将被自动清除。 |