最近更新时间:2021-09-23
一个VPN网关可以与多个客户端网关建立IPSec隧道连接。
在VPN网关列表页面,单击VPN网关后的“VPN接入配置”。
在IPSec接入页面,单击“新建IPSec接入”。
在新建IPSec接入页面,输入各项参数。
IPSec参数说明如下:
参数 | 说明 |
名称 | 输入IPSec接入的名称。 |
描述 | 输入IPSec接入的描述信息。 |
VPN网关 | 选择已经创建的VPN网关。 |
VPC | VPN网关所在的VPC。在选择VPN网关后自动填入。 |
本端网段 | 选择VPC的内网网段。选择后,该网段内的云主机可以与客户端网段进行通信。 |
客户端网关 | 选择已经创建的客户端网关。 |
客户端网段 | 客户端的网段。在选择客户端网关后自动填入。 |
预共享密钥 | IPSec协商的预共享秘钥。本端和客户端一侧的预共享秘钥必须一致。 |
IKE阶段参数说明如下。
参数 | 说明 |
IKE版本 | 指定IKE版本,当前仅支持IKEv1。 |
协商模式 | 当前仅支持IKE主模式。 |
本端ID | 指定本端的ID,用于在IKE认证协商阶段向对端标识自己的身份。可以选择IP地址或设置FQDN。 |
对端ID | 指定客户端的ID,用于在IKE认证协商阶段识别对端的身份。可以选择对端IP地址或FQDN。 |
加密算法 | 指定IKE协商阶段使用的加密算法。隧道两端必须指定相同的加密算法才能协商成功。 |
认证算法 | 指定IKE协商阶段使用的认证算法。隧道两端必须指定相同的认证算法才能协商成功。 |
DH算法 | 指定IKE协商阶段使用的Diffie-Hellman密钥交换参数。隧道两端必须指定相同的Diffie-Hellman密钥交换参数,才能协商成功。 从DH group 1到DH group 24,随着位数的增加其安全性依次递增,处理速度依次递减。请根据实际组网环境中对安全性和性能的要求选择合适的DH group。 |
生命周期 | IKE SA的存活时间,为固定值86400秒。 在指定的IKE SA存活时间超时前,设备会提前协商另一个IKE SA来替换旧的IKE SA。在新的IKE SA还没有协商完之前,依然使用旧的IKE SA;在新的IKE SA建立后,将立即使用新的IKE SA,而旧的IKE SA在存活时间超时后,将被自动清除。 |
IPSec阶段参数说明如下。
参数 | 说明 |
传输协议 | 指定IPSec协商使用的安全传输协议,支持ESP和ESP_AH两种。 |
封装模式 | IPSec封装模式,当前仅支持隧道模式。 |
加密算法 | 指定IPSec协商使用的加密算法。隧道两端必须指定相同的加密算法才能协商成功。 |
认证算法 | 指定IPSec协商使用的认证算法。隧道两端必须指定相同的认证算法才能协商成功。 |
PFS | 指定在使用此安全提议发起IKE协商时使用PFS(Perfect Forward Secrecy,完善的前向安全)特性。从Group_1到Group_24,随着位数的增加其算法的强度递增,即安全性和需要计算的时间依次递增。 IKEv1协商时发起方的PFS强度必须大于或等于响应方的PFS强度,否则IKE协商会失败。 |
生命周期 | 设置IPSec SA的生存时间。缺省为86400秒。 在指定的IPSec SA存活时间超时前,设备会提前协商另一个IPSec SA来替换旧的IPSec SA。在新的IPSec SA还没有协商完之前,依然使用旧的IPSec SA;在新的IPSec SA建立后,将立即使用新的IPSec SA,而旧的IPSec SA在存活时间超时后,将被自动清除。 |
单击“确认”,开始建立IPSec连接。
建立IPSec连接时,需要等待一段时间。
完成IPSec接入后,返回到IPSec接入页面,可以查看到已建立的IPSec连接参数。
当IPSec连接的状态变为隧道协商成功时,VPC和客户端之间可以正常通信。
如果提示建立连接失败,请根据提示排查配置错误。
