阿里云IPSecVPN创建IPSEC VPN连接

订购IPSEC VPN服务以后,需要在IPSEC VPN服务里创建IPSEC VPN连接,完成和对端的配置
 
(1)用户进入首页后,点击【控制台】-【云网络】-【VPC】-【管理/VPC名称】-【IPsec VPN】选择相应的IPsecVPN服务,进入IPSEC VPN服务的管理页面,点击【创建】,可以创建IPSEC VPN连接。
(2) 对于【华北节点1】【华中-长沙1】【华南-广州2】的VPN资源,填写对应的参数信息:VPN连接名称、对端网关IP、对端路由器标识、对端子网、共享密钥字符串,填写完成后,点击【下一步】配置IPSec策略。
对于其他节点的VPN资源,填写对应的参数信息:VPN连接名称、本端子网、本端网关ID、对端网关IP、对端网关ID、对端子网、共享密钥字符串,填写完成后,点击【下一步】配置IPSec策略。

注:
1.VPN连接名称:用户自定义,5~22位的中文、英文、数字、下划线的组合。
 
2.本端网关ID:本端网关的认证标识。默认为字符串(string)类型,有效值可以为IP地址,e-mail地址
 
3.本端子网:可与对端通信的本端子网列表。
 
4.对端网关公网地址:填写对端路由器的外部公网IP地址,作为构建IPSec隧道的端点地址。需与对端实际IP地址一致。
 
5.对端网关ID:对端网关的认证标识。默认为字符串(string)类型,有效值可以为IP地址,e-mail地址
 
6.对端子网网络地址:对端要建立VPN访问的内部网络地址。需与对端实际内部网络一致,地址唯一。
 
7.共享密钥字符串:用户自定义,用于两端认证的字符串,需要VPN连接的两端保持一致。
 
8.订购IPSEC VPN时的带宽为IPSEC VPN下的多个VPN连接带宽之和,抢占分配

(3)填写对应的IPSec参数信息,完成后,点击【下一步】配置IKE策略。
 
注:
 
1.传输协议:传输和封装用户数据时使用的安全协议,默认配置为:ESP。
 
2.传输封装模式:IPSec协议的运行模式,当两台主机进行通信时使用传输模式,当对端为安全网关或者路由器时使用隧道模式。
 
3.加密算法:IPSEC加密算法,支持的算法:AES-128、3DES(有安全风险不推荐)
 
4.完美向前加密:PFS(Perfect Forward Secrecy),用来配置IPSec隧道协商时使用。支持的算法:DH Group2、DH Group5。默认配置为:DH Group5。
 
5.生命期:安全联盟(SA?Secuity Associations)的生存时间,单位:秒。在超过生存时间后,安全联盟将被重新协商。默认配置为:3600。

(4)填写对应的IPSec参数信息,完成后,点击【创建】以完成IPSEC连接的创建。
注:
1.加密算法:加密算法,支持的算法:AES-128、3DES(有安全风险不推荐)。
 
2.完美向前加密:默认配置为:Group2。
 
3.IKE策略版本:IKE密钥交换协议版本,支持的版本:v1、v2。默认配置为:v1。
 
4.生命期:安全联盟(SA?Security Associations)的生存时间,单位:秒。在超过生存时间后,安全联盟将被重新协商。默认配置为:3600。
 
5.协商模式:支持主模式和野蛮模式,如果使用NAT穿越,建议使用野蛮模式。