IPsec 隧道服务功能支持您通过可视化页面形式添加隧道规则。您可以通过添加 IPsec 隧道规则在接入点设备与云上 VPC 或第三方网络设备之间建立隧道,实现两侧的网络互联。

适用场景

IPsec 隧道以加密方式进行数据传输,支持身份验证,能够有效保证数据的私密性、合法性及完整性,适用于对安全性要求较高的业务场景。

前提条件

  • 已创建连接云网。

  • 已创建接入点并成功激活。

添加隧道规则

  1. 登录管理控制台。

  2. 选择产品与服务 > 网络服务 > SD-WAN(新版),进入接入点页面。

  3. 点击接入点 ID,进入接入点详情页。

  4. 选择网络管理 > IPsec 隧道服务,进入隧道配置页面。

    ipsec srv 1
  5. 点击添加隧道规则,进入添加 IPsec 隧道规则页面。

  6. 配置隧道规则,完成后,点击添加进行提交。

    基本参数配置:

    参数 参数说明

    名称

    隧道名称。

    设备

    选择需要建立隧道的设备。

    • 当接入点绑定了两个设备时,可选择使用主设备或备设备。

    • 当接入点仅绑定了一个设备时,则只能选择主设备。

    本地 IP

    隧道本端网络设备的 IP 地址,即当前所选设备的 IP 地址。

    远端 IP

    隧道对端网络设备的 IP 地址。
    例如,当对端网络为青云 VPC 私有网络时,则远端 IP 为 VPC 的公网 IP 地址或基础网络 IP 地址。但需要确保本地 IP 与远端 IP 的网络互通,否则无法建立隧道。

    预共享密钥(选填)

    IPsec 连接的认证密钥,用于隧道两端之间的身份认证。密码长度范围为 1~32 位。

    本端与对端配置的密钥必须一致,否则无法正常建立连接。

    本端网段

    需要与对端网络互通的接入设备侧的私网网段。
    可点击添加网段添加多个本端网络。

    对端网段

    接入设备侧需要连接的第三方设备或云上 VPC 的私网网段。
    可点击添加网段添加多个对端网络。

    高级设置

    如果需要自定义 IKE 配置及 IPsec 配置,则勾选后进行配置。
    若不勾选,则表示使用默认配置。首次勾选后,界面上显示的配置则为默认位置。

    高级参数说明请见下表。

    高级参数设置:

    参数 参数说明

    IKE 配置

    版本

    IKE 对等体使用的 IKE 协议版本号,本端和对端必须相同。

    当前仅支持设置为 IKEv2,相比 IKEv1,IKEv2 安全性和扩展性更好、协商效率更高。

    协商模式

    IPsec 协议协商模式。

    • 主模式:协商过程安全性高,提供身份保护。

    • 野蛮模式:协商快速且协商成功率高,但不提供身份保护。

    加密算法

    第一阶段协商使用的加密算法。用于加密和解密 IP 报文,密钥长度越大越安全,但加密速度越慢。

    安全级别由高到低依次为:AES-256 > AES-192 > AES-128 > 3DES。

    认证算法

    第一阶段协商使用的认证算法。

    安全级别由高到低依次为:SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。

    DH 分组

    第一阶段协商的 Diffie-Hellman 密钥交换算法。用于计算共享密钥,防止报文被非法破解。

    DH 组安全级别由高到低依次为:group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。

    SA 生存周期

    第一阶段协商出的 SA 的生存周期。用于 IKE SA 的定时更新,降低 SA 被破解的风险,可以提高安全性。超时后需重新协商新的 IKE SA。

    单位:秒。默认值:86400。取值范围:900~86400。

    LocalId

    接入设备端的标识,用于第一阶段协商。

    若不填写,默认为本地 IP 地址。
    长度不超过 100 个字符,只可输入数字、大小写字母以及特殊符号 ~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;

    RemoteId

    隧道对端网络设备的标识,用于第一阶段协商。

    若不填写,默认为远端公网 IP 地址。
    长度不超过 100 个字符,只可输入数字、大小写字母以及特殊符号 ~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;

    IPsec 配置

    加密算法

    第二阶段协商使用的加密算法。

    安全级别由高到低依次为:AES-256 > AES-192 > AES-128 > 3DES。

    认证算法

    第二阶段协商使用的认证算法。

    安全级别由高到低依次为:SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。

    DH 分组

    第二阶段协商的 Diffie-Hellman 密钥交换算法。

    DH 组安全级别由高到低依次为:group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。

    SA 生存周期

    第二阶段协商出的 SA 的生存周期。

    单位:秒。默认值:86400。取值范围:900~86400。

    DPD

    选择开启或关闭对等体存活检测(Dead Peer Detection)功能。默认开启。

    开启后,IPsec 发起端会发送 DPD 报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec 将删除 ISAKMP SA 和相应的 IPsec SA,安全隧道同样也会被删除。

    NAT 穿越

    选择开启或关闭 NAT 穿越功能。默认开启。

    开启后,IKE 协商过程会删除对 UDP 端口号的验证过程,同时能帮您发现加密通信通道中的 NAT 网关设备。

    Multi-selector

    选择开启或关闭 Multi-selector 功能。默认开启。

    开启后,如果本端和对端存在多个网段,则只需进行一次第二阶段协商。否则,需要分别对每个网段进行独立的协商。

  7. 点击应用修改下发配置,使之生效。

更多操作

IPsec 隧道规则添加后,您可以进行禁用、启用、修改及删除操作。

ipsec srv 2
  1. 在隧道规则列表的操作列,点击对应的操作项即可进行操作。

    • 禁用:禁用规则后,规则失效,将无法建立隧道连接。

    • 启用:重新启用该规则。

    • 修改:所有配置信息均可修改。

    • 删除:删除的规则不可进行恢复,请谨慎操作。

  2. 执行任意操作后,点击应用修改更新配置。

    当出现应用成功的提示,则表示操作完成并成功。