配置 IPsec 隧道
IPsec 隧道服务功能支持您通过可视化页面形式添加隧道规则。您可以通过添加 IPsec 隧道规则在接入点设备与云上 VPC 或第三方网络设备之间建立隧道,实现两侧的网络互联。
适用场景
IPsec 隧道以加密方式进行数据传输,支持身份验证,能够有效保证数据的私密性、合法性及完整性,适用于对安全性要求较高的业务场景。
前提条件
-
已创建连接云网。
-
已创建接入点并成功激活。
添加隧道规则
-
登录管理控制台。
-
选择产品与服务 > 网络服务 > SD-WAN(新版),进入接入点页面。
-
点击接入点 ID,进入接入点详情页。
-
选择网络管理 > IPsec 隧道服务,进入隧道配置页面。
-
点击添加隧道规则,进入添加 IPsec 隧道规则页面。
-
配置隧道规则,完成后,点击添加进行提交。
基本参数配置:
参数 参数说明 名称
隧道名称。
设备
选择需要建立隧道的设备。
-
当接入点绑定了两个设备时,可选择使用主设备或备设备。
-
当接入点仅绑定了一个设备时,则只能选择主设备。
本地 IP
隧道本端网络设备的 IP 地址,即当前所选设备的 IP 地址。
远端 IP
隧道对端网络设备的 IP 地址。
例如,当对端网络为青云 VPC 私有网络时,则远端 IP 为 VPC 的公网 IP 地址或基础网络 IP 地址。但需要确保本地 IP 与远端 IP 的网络互通,否则无法建立隧道。预共享密钥(选填)
IPsec 连接的认证密钥,用于隧道两端之间的身份认证。密码长度范围为 1~32 位。
本端与对端配置的密钥必须一致,否则无法正常建立连接。
本端网段
需要与对端网络互通的接入设备侧的私网网段。
可点击添加网段添加多个本端网络。对端网段
接入设备侧需要连接的第三方设备或云上 VPC 的私网网段。
可点击添加网段添加多个对端网络。高级设置
如果需要自定义 IKE 配置及 IPsec 配置,则勾选后进行配置。
若不勾选,则表示使用默认配置。首次勾选后,界面上显示的配置则为默认位置。高级参数说明请见下表。
高级参数设置:
参数 参数说明 IKE 配置
版本
IKE 对等体使用的 IKE 协议版本号,本端和对端必须相同。
当前仅支持设置为 IKEv2,相比 IKEv1,IKEv2 安全性和扩展性更好、协商效率更高。
协商模式
IPsec 协议协商模式。
-
主模式:协商过程安全性高,提供身份保护。
-
野蛮模式:协商快速且协商成功率高,但不提供身份保护。
加密算法
第一阶段协商使用的加密算法。用于加密和解密 IP 报文,密钥长度越大越安全,但加密速度越慢。
安全级别由高到低依次为:AES-256 > AES-192 > AES-128 > 3DES。
认证算法
第一阶段协商使用的认证算法。
安全级别由高到低依次为:SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。
DH 分组
第一阶段协商的 Diffie-Hellman 密钥交换算法。用于计算共享密钥,防止报文被非法破解。
DH 组安全级别由高到低依次为:group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。
SA 生存周期
第一阶段协商出的 SA 的生存周期。用于 IKE SA 的定时更新,降低 SA 被破解的风险,可以提高安全性。超时后需重新协商新的 IKE SA。
单位:秒。默认值:86400。取值范围:900~86400。
LocalId
接入设备端的标识,用于第一阶段协商。
若不填写,默认为本地 IP 地址。
长度不超过 100 个字符,只可输入数字、大小写字母以及特殊符号 ~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;RemoteId
隧道对端网络设备的标识,用于第一阶段协商。
若不填写,默认为远端公网 IP 地址。
长度不超过 100 个字符,只可输入数字、大小写字母以及特殊符号 ~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;IPsec 配置
加密算法
第二阶段协商使用的加密算法。
安全级别由高到低依次为:AES-256 > AES-192 > AES-128 > 3DES。
认证算法
第二阶段协商使用的认证算法。
安全级别由高到低依次为:SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。
DH 分组
第二阶段协商的 Diffie-Hellman 密钥交换算法。
DH 组安全级别由高到低依次为:group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。
SA 生存周期
第二阶段协商出的 SA 的生存周期。
单位:秒。默认值:86400。取值范围:900~86400。
DPD
选择开启或关闭对等体存活检测(Dead Peer Detection)功能。默认开启。
开启后,IPsec 发起端会发送 DPD 报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec 将删除 ISAKMP SA 和相应的 IPsec SA,安全隧道同样也会被删除。
NAT 穿越
选择开启或关闭 NAT 穿越功能。默认开启。
开启后,IKE 协商过程会删除对 UDP 端口号的验证过程,同时能帮您发现加密通信通道中的 NAT 网关设备。
Multi-selector
选择开启或关闭 Multi-selector 功能。默认开启。
开启后,如果本端和对端存在多个网段,则只需进行一次第二阶段协商。否则,需要分别对每个网段进行独立的协商。
-
-
点击应用修改下发配置,使之生效。
更多操作
IPsec 隧道规则添加后,您可以进行禁用、启用、修改及删除操作。
-
在隧道规则列表的操作列,点击对应的操作项即可进行操作。
-
禁用:禁用规则后,规则失效,将无法建立隧道连接。
-
启用:重新启用该规则。
-
修改:所有配置信息均可修改。
-
删除:删除的规则不可进行恢复,请谨慎操作。
-
-
执行任意操作后,点击应用修改更新配置。
当出现应用成功的提示,则表示操作完成并成功。