配置 IPsec 隧道

IPsec 隧道服务功能支持您通过可视化页面形式添加隧道规则。您可以通过添加 IPsec 隧道规则在接入点设备与云上 VPC 或第三方网络设备之间建立隧道，实现两侧的网络互联。

适用场景

IPsec 隧道以加密方式进行数据传输，支持身份验证，能够有效保证数据的私密性、合法性及完整性，适用于对安全性要求较高的业务场景。

前提条件

已创建连接云网。
已创建接入点并成功激活。

添加隧道规则

登录管理控制台。
选择产品与服务 > 网络服务 > SD-WAN（新版），进入接入点页面。
点击接入点 ID，进入接入点详情页。
选择网络管理 > IPsec 隧道服务，进入隧道配置页面。
点击添加隧道规则，进入添加 IPsec 隧道规则页面。

配置隧道规则，完成后，点击添加进行提交。

基本参数配置：

参数	参数说明
名称	隧道名称。
设备	选择需要建立隧道的设备。当接入点绑定了两个设备时，可选择使用主设备或备设备。当接入点仅绑定了一个设备时，则只能选择主设备。
本地 IP	隧道本端网络设备的 IP 地址，即当前所选设备的 IP 地址。
远端 IP	隧道对端网络设备的 IP 地址。例如，当对端网络为青云 VPC 私有网络时，则远端 IP 为 VPC 的公网 IP 地址或基础网络 IP 地址。但需要确保本地 IP 与远端 IP 的网络互通，否则无法建立隧道。
预共享密钥（选填）	IPsec 连接的认证密钥，用于隧道两端之间的身份认证。密码长度范围为 1~32 位。本端与对端配置的密钥必须一致，否则无法正常建立连接。
本端网段	需要与对端网络互通的接入设备侧的私网网段。可点击添加网段添加多个本端网络。
对端网段	接入设备侧需要连接的第三方设备或云上 VPC 的私网网段。可点击添加网段添加多个对端网络。
高级设置	如果需要自定义 IKE 配置及 IPsec 配置，则勾选后进行配置。若不勾选，则表示使用默认配置。首次勾选后，界面上显示的配置则为默认位置。高级参数说明请见下表。

参数

参数说明

名称

隧道名称。

设备

选择需要建立隧道的设备。

当接入点绑定了两个设备时，可选择使用主设备或备设备。
当接入点仅绑定了一个设备时，则只能选择主设备。

本地 IP

隧道本端网络设备的 IP 地址，即当前所选设备的 IP 地址。

远端 IP

隧道对端网络设备的 IP 地址。
例如，当对端网络为青云 VPC 私有网络时，则远端 IP 为 VPC 的公网 IP 地址或基础网络 IP 地址。但需要确保本地 IP 与远端 IP 的网络互通，否则无法建立隧道。

预共享密钥（选填）

IPsec 连接的认证密钥，用于隧道两端之间的身份认证。密码长度范围为 1~32 位。

本端与对端配置的密钥必须一致，否则无法正常建立连接。

本端网段

需要与对端网络互通的接入设备侧的私网网段。
可点击添加网段添加多个本端网络。

对端网段

接入设备侧需要连接的第三方设备或云上 VPC 的私网网段。
可点击添加网段添加多个对端网络。

高级设置

如果需要自定义 IKE 配置及 IPsec 配置，则勾选后进行配置。
若不勾选，则表示使用默认配置。首次勾选后，界面上显示的配置则为默认位置。

高级参数说明请见下表。

高级参数设置：

参数	参数说明
IKE 配置
版本	IKE 对等体使用的 IKE 协议版本号，本端和对端必须相同。当前仅支持设置为 IKEv2，相比 IKEv1，IKEv2 安全性和扩展性更好、协商效率更高。
协商模式	IPsec 协议协商模式。主模式：协商过程安全性高，提供身份保护。野蛮模式：协商快速且协商成功率高，但不提供身份保护。
加密算法	第一阶段协商使用的加密算法。用于加密和解密 IP 报文，密钥长度越大越安全，但加密速度越慢。安全级别由高到低依次为：AES-256 > AES-192 > AES-128 > 3DES。
认证算法	第一阶段协商使用的认证算法。安全级别由高到低依次为：SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。
DH 分组	第一阶段协商的 Diffie-Hellman 密钥交换算法。用于计算共享密钥，防止报文被非法破解。 DH 组安全级别由高到低依次为：group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。
SA 生存周期	第一阶段协商出的 SA 的生存周期。用于 IKE SA 的定时更新，降低 SA 被破解的风险，可以提高安全性。超时后需重新协商新的 IKE SA。单位：秒。默认值：86400。取值范围：900~86400。
LocalId	接入设备端的标识，用于第一阶段协商。若不填写，默认为本地 IP 地址。长度不超过 100 个字符，只可输入数字、大小写字母以及特殊符号 ~ ` \| ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;
RemoteId	隧道对端网络设备的标识，用于第一阶段协商。若不填写，默认为远端公网 IP 地址。长度不超过 100 个字符，只可输入数字、大小写字母以及特殊符号 ~ ` \| ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;
IPsec 配置
加密算法	第二阶段协商使用的加密算法。安全级别由高到低依次为：AES-256 > AES-192 > AES-128 > 3DES。
认证算法	第二阶段协商使用的认证算法。安全级别由高到低依次为：SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。
DH 分组	第二阶段协商的 Diffie-Hellman 密钥交换算法。 DH 组安全级别由高到低依次为：group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。
SA 生存周期	第二阶段协商出的 SA 的生存周期。单位：秒。默认值：86400。取值范围：900~86400。
DPD	选择开启或关闭对等体存活检测（Dead Peer Detection）功能。默认开启。开启后，IPsec 发起端会发送 DPD 报文用来检测对端的设备是否存活，如果在设定时间内未收到正确回应则认为对端已经断线，IPsec 将删除 ISAKMP SA 和相应的 IPsec SA，安全隧道同样也会被删除。
NAT 穿越	选择开启或关闭 NAT 穿越功能。默认开启。开启后，IKE 协商过程会删除对 UDP 端口号的验证过程，同时能帮您发现加密通信通道中的 NAT 网关设备。
Multi-selector	选择开启或关闭 Multi-selector 功能。默认开启。开启后，如果本端和对端存在多个网段，则只需进行一次第二阶段协商。否则，需要分别对每个网段进行独立的协商。

参数

参数说明

IKE 配置

版本

IKE 对等体使用的 IKE 协议版本号，本端和对端必须相同。

当前仅支持设置为 IKEv2，相比 IKEv1，IKEv2 安全性和扩展性更好、协商效率更高。

协商模式

IPsec 协议协商模式。

主模式：协商过程安全性高，提供身份保护。
野蛮模式：协商快速且协商成功率高，但不提供身份保护。

加密算法

第一阶段协商使用的加密算法。用于加密和解密 IP 报文，密钥长度越大越安全，但加密速度越慢。

安全级别由高到低依次为：AES-256 > AES-192 > AES-128 > 3DES。

认证算法

第一阶段协商使用的认证算法。

安全级别由高到低依次为：SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。

DH 分组

第一阶段协商的 Diffie-Hellman 密钥交换算法。用于计算共享密钥，防止报文被非法破解。

DH 组安全级别由高到低依次为：group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。

SA 生存周期

第一阶段协商出的 SA 的生存周期。用于 IKE SA 的定时更新，降低 SA 被破解的风险，可以提高安全性。超时后需重新协商新的 IKE SA。

单位：秒。默认值：86400。取值范围：900~86400。

LocalId

接入设备端的标识，用于第一阶段协商。

若不填写，默认为本地 IP 地址。
长度不超过 100 个字符，只可输入数字、大小写字母以及特殊符号 ~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;

RemoteId

隧道对端网络设备的标识，用于第一阶段协商。

若不填写，默认为远端公网 IP 地址。
长度不超过 100 个字符，只可输入数字、大小写字母以及特殊符号 ~ ` | ! @ # $ % ^ ( ) - _ + = [ ] { } \ , . / : ;

IPsec 配置

加密算法

第二阶段协商使用的加密算法。

安全级别由高到低依次为：AES-256 > AES-192 > AES-128 > 3DES。

认证算法

第二阶段协商使用的认证算法。

安全级别由高到低依次为：SHA2-512 > SHA2-384 > SHA2-256 > SHA1 > MD5。

DH 分组

第二阶段协商的 Diffie-Hellman 密钥交换算法。

DH 组安全级别由高到低依次为：group 19 > group 18 > group 17 > group 16 > group 15 > group 14> group 5。

SA 生存周期

第二阶段协商出的 SA 的生存周期。

单位：秒。默认值：86400。取值范围：900~86400。

DPD

选择开启或关闭对等体存活检测（Dead Peer Detection）功能。默认开启。

开启后，IPsec 发起端会发送 DPD 报文用来检测对端的设备是否存活，如果在设定时间内未收到正确回应则认为对端已经断线，IPsec 将删除 ISAKMP SA 和相应的 IPsec SA，安全隧道同样也会被删除。

NAT 穿越

选择开启或关闭 NAT 穿越功能。默认开启。

开启后，IKE 协商过程会删除对 UDP 端口号的验证过程，同时能帮您发现加密通信通道中的 NAT 网关设备。

Multi-selector

选择开启或关闭 Multi-selector 功能。默认开启。

开启后，如果本端和对端存在多个网段，则只需进行一次第二阶段协商。否则，需要分别对每个网段进行独立的协商。

点击应用修改下发配置，使之生效。

适用场景

前提条件

添加隧道规则

更多操作