电信vpn固网
创建VPN网关后,还需分别在阿里云侧和本地IDC侧配置IPsec连接,才能实现本地数据中心与VPC互通。
阿里云侧的IPsec连接默认为双隧道模式,即包含一条主隧道和一条备用隧道。当主隧道因网络抖动或设备故障中断时,流量会自动切换至备用隧道,从而保障业务的连续性和网络的高可用性。
健康检查与故障切换:系统自动检测主隧道的连通性。当检测到主隧道中断后,VPN 网关会自动将流量切换到备用隧道。待主隧道恢复后,流量将自动切回。
可用区容灾:IPsec连接的两条隧道默认部署在不同的可用区。当其中一个可用区发生故障时,另一可用区的隧道仍然可用,从而提供跨可用区的容灾能力。对于仅支持一个可用区的地域,两条隧道会被部署在同一个可用区,不支持可用区级别的容灾,但依旧拥有链路冗余能力。
IPsec连接名称:填写有意义的名称,例如dev-dc01-backup(环境-对端标识-用途)
计费类型:默认使用BGP(多线)类型的线路,使用CDT计费,享受每月220GB的免费额度(中国内地地域20GB/月,非中国内地地域200GB/月)。
感兴趣流模式:匹配“源IP地址”和“目的 IP 地址”转发流量,只有匹配成功的流量才会进入VPN隧道传输,该模式可以优化网络性能,减少不必要的流量处理。
选择此模式后,需配置本端网段(VPC 内需要通信的网段)和对端网段(本地数据中心需要通信的网段)。
IPsec连接配置完成后,系统会自动生成策略路由:源网段为IPsec连接本端网段,目标网段为IPsec连接对端网段,下一跳指向IPsec连接,可选发布到VPC路由表(默认不发布)。
立即生效:如果需要快速启用或避免流量延迟,推荐选择“是”;如果希望节省资源且流量不频繁,可选择“否”。
隧道相关配置:请查看隧道及加密配置,了解隧道 1(主)和隧道 2(备)中相关参数的配置说明。
IPsec连接名称:填写有意义的名称,例如dev-dc01-backup(环境-对端标识-用途)
感兴趣流模式:匹配“源IP地址”和“目的 IP 地址”转发流量,只有匹配成功的流量才会进入VPN隧道传输,该模式可以优化网络性能,减少不必要的流量处理。
选择此模式后,需配置本端网段(VPC 内需要通信的网段)和对端网段(本地数据中心需要通信的网段)。
IPsec连接配置完成后,系统会自动生成策略路由:源网段为IPsec连接本端网段,目标网段为IPsec连接对端网段,下一跳指向IPsec连接,可选发布到VPC路由表(默认不发布)。
立即生效:如果需要快速启用或避免流量延迟,推荐选择“是”;如果希望节省资源且流量不频繁,可选择“否”。
隧道相关配置:请查看隧道及加密配置,了解隧道 1(主)和隧道 2(备)中相关参数的配置说明。
创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力。
开启:适用于网络拓扑复杂、需要自动分发和学习路由的场景。前提:关联的用户网关必须已配置 ASN。
本端自治系统号:启用BGP后,阿里云侧的ASN号。两条隧道使用相同的自治系统号,默认值:45104,取值范围:1~4294967295。对端云下设备配置自治系统号时,建议使用私有 ASN 号。
RemoteId:VPN网关为国密型时需配置此项。设置对端签名证书的主体信息。请确保申请对端签名证书时填写的主体信息(例如公司名称、部门、公司所在区域等信息)为英文,格式例如:
对端CA证书:VPN网关为国密型时需配置此项。通过输入对端CA证书,VPN网关实例可以在建立IPsec-VPN连接时校验对端证书的合法性。
预共享密钥:用于身份认证的密钥,两条隧道的密钥必须与本地网关设备上的配置完全一致。若不填则由系统随机生成。
版本:推荐使用ikev2。IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持。国密型VPN网关的IKE版本仅支持ikev1。
main(默认值):主模式。此模式加密传输身份信息,协商过程安全性比aggressive高。
VPN网关实例的带宽规格为200 Mbps及以上时,推荐使用aes128、aes192、aes256加密算法,不推荐使用3des加密算法。
aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。
3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
DH分组(完美向前加密 PFS):选择第一阶段协商的Diffie-Hellman密钥交换算法。
SA生存周期(秒):设置第一阶段协商出的SA(SecurityAssociation,安全关联)的生存周期。默认值:86400。取值范围:0~86400。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云,无其他作用。支持使用IP地址格式或FQDN(FullyQualifiedDomainName)格式,不能包含空格。推荐使用私网IP地址作为隧道本端的标识。
如果LocalId使用了FQDN格式,例如输入则本地网关设备上IPsec连接的对端ID需与LocalId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
RemoteId:隧道对端的标识符。默认值使用隧道关联的用户网关中的IP地址作为隧道对端标识符。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地网关设备,无其他作用。支持使用IP地址格式或FQDN(FullyQualifiedDomainName)格式,不能包含空格。推荐使用私网IP地址作为隧道对端的标识。
如果RemoteId使用了FQDN格式,例如输入,则本地网关设备上IPsec连接的本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
VPN网关实例的带宽规格为200 Mbps及以上时,推荐使用aes128、aes192、aes256加密算法,不推荐使用3des加密算法。
aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。
3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
SA生存周期(秒):设置第二阶段协商出的SA的生存周期。默认值:86400。取值范围:0~86400。
DPD:对等体存活检测,建议始终开启(默认)。它能及时发现对端故障并触发切换,是实现高可用的关键。
开启DPD功能后,IPsec连接会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec连接将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。DPD检测超时后,IPsec连接会自动重新发起IPsec-VPN隧道协商。DPD报文的超时时间为30秒。
NAT穿越:建议保持默认开启。开启后,IKE协商过程会删除对UDP端口号的验证过程,同时能发现加密通信通道中的NAT网关设备。
在目标IPsec连接的操作列单击生成对端配置,在IPsec连接配置对话框复制配置并保存到本地,以便用于配置本地网关设备。
配置本地网关设备:根据在“配置IPsec连接”步骤中下载的对端配置,在本地数据中心的网关设备(如防火墙或路由器)上完成 IPsec 和 BGP(如果启用)的配置。
本端自治系统号:启用BGP后,阿里云侧的ASN号。两条隧道使用相同的自治系统号,默认值:45104,取值范围:1~4294967295。对端云下设备配置自治系统号时,建议使用私有 ASN 号。
创建IPsec连接时,可启用BGP,并配置本端自治系统号、隧道网段、本端BGP地址,直接开启BGP功能。
针对已创建的IPsec连接,可在IPsec连接实例详情页面的IPsec连接基本信息区域,启用BGP。
RemoteId:传统型VPN网关为国密型时才会有此选项。设置对端签名证书的主体信息。请确保申请对端签名证书时填写的主体信息(例如公司名称、部门、公司所在区域等信息)为英文,格式例如:
对端CA证书:传统型VPN网关为国密型时才会有此选项。通过输入对端CA证书,VPN网关实例可以在建立IPsec-VPN连接时校验对端证书的合法性。
预共享密钥:用于身份认证的密钥,两条隧道的密钥必须与本地网关设备上的配置完全一致。若不填则由系统随机生成。
增强型VPN:支持多算法兼容模式,系统默认选择多个加密配置,自动与支持多算法兼容的云下本地网关设备协商算法。
推荐使用ikev2。IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持。国密型VPN网关的IKE版本仅支持ikev1。
main(默认值):主模式。此模式加密传输身份信息,协商过程安全性比aggressive高。
实例的带宽规格为200 Mbps及以上时,推荐使用AES128、AES192、AES256加密算法,不推荐使用3des加密算法。
aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。
3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥电信vpn固网,因此,相应的客户端也要开启PFS功能。
group1-group24:DH分组数字越大安全性越高,但也会更耗费性能。建议先确认VPN对端支持哪些DH Group,然后在共同支持的列表中,优先选择ECDH组(Group 19、20、21)。
设置第一阶段协商出的SA(SecurityAssociation,安全关联)的生存周期。默认值:86400。取值范围:0~86400。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云,无其他作用。支持使用IP地址格式或FQDN(FullyQualifiedDomainName)格式,不能包含空格。推荐使用私网IP地址作为隧道本端的标识。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地网关设备,无其他作用。支持使用IP地址格式或FQDN(FullyQualifiedDomainName)格式,不能包含空格。推荐使用私网IP地址作为隧道对端的标识。
开启DPD功能后,IPsec连接会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec连接将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。DPD检测超时后,IPsec连接会自动重新发起IPsec-VPN隧道协商。DPD报文的超时时间为30秒。
建议保持默认开启。开启后,IKE协商过程会删除对UDP端口号的验证过程,同时能发现加密通信通道中的NAT网关设备。
针对已创建的IPsec连接,单击目标IPsec连接实例ID进入详情页,在目标隧道的操作列单击编辑修改隧道配置。
创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力。
在IPsec连接已绑定了VPN网关实例的场景下,不支持修改IPsec连接关联的VPN网关实例,仅支持修改IPsec连接路由模式和立即生效的配置。
传统型VPN:IPsec连接本身不收费,但其绑定的VPN 网关实例会产生费用,详见IPsec-VPN计费说明。
预共享密钥不匹配:请仔细核对阿里云侧和本地网关设备上的预共享密钥,确保完全一致,包括大小写和特殊字符。
IKE 参数不一致:检查 IKE 版本、协商模式、加密算法、认证算法、DH 分组等参数是否在两端完全匹配。
网络问题:检查本地网关设备的公网 IP 是否可达,以及是否有防火墙或运营商策略拦截了 UDP 500/4500 端口。
路由配置:检查阿里云 VPC 路由表和本地数据中心的路由表是否已正确配置,将流量指向 IPsec连接。
安全组和网络 ACL:检查云上 ECS 实例的安全组是否允许来自本地网段的 ICMP 或其他业务端口的流量。
这是因为您创建 IPsec 连接时所关联的用户网关没有配置 ASN(自治系统号)。您必须删除当前的 IPsec 连接,重新创建一个配置了 ASN 的用户网关,然后再用这个新的用户网关来创建 IPsec 连接。
不可以。隧道 1(使用 VPN 网关 IP 地址 1)固定为主隧道,隧道 2(使用 VPN 网关 IP 地址 2)固定为备隧道,该角色无法更改。
新购 VPN 网关实例后,默认仅能创建双隧道模式的 IPsec-VPN 连接,不再支持创建单隧道模式的 IPsec-VPN 连接。
已创建的单隧道 VPN 网关实例默认只能创建单隧道模式的 IPsec-VPN 连接。推荐升级IPsec-VPN连接为双隧道模式,升级后该VPN网关实例不再支持创建单隧道模式的 IPsec-VPN 连接。
目的路由模式(默认值):基于目的IP地址转发流量。适用于通过 BGP 动态学习路由或在 VPN 网关配置静态路由的场景,配置简单。
感兴趣流模式:基于源和目的 IP 地址转发流量,适用于仅希望特定网段之间互通的复杂网络场景。选择此模式后,需配置本端网段(VPC 内需要通信的网段)和对端网段(本地数据中心需要通信的网段)。
IPsec连接配置完成后,系统会自动生成策略路由:源网段为IPsec连接本端网段,目标网段为IPsec连接对端网段,下一跳指向IPsec连接,可选发布到VPC路由表(默认不发布)。
立即生效:如果需要快速启用或避免流量延迟,推荐选择“是”;如果希望节省资源且流量不频繁,可选择“否”。
预共享密钥:用于身份认证的密钥,两条隧道的密钥必须与本地网关设备上的配置完全一致。若不填则由系统随机生成。
RemoteId:VPN网关为国密型时需配置此项。设置对端签名证书的主体信息。请确保申请对端签名证书时填写的主体信息(例如公司名称、部门、公司所在区域等信息)为英文,格式例如:
对端CA证书:VPN网关为国密型时需配置此项。通过输入对端CA证书,VPN网关实例可以在建立IPsec-VPN连接时校验对端证书的合法性。
开启:适用于网络拓扑复杂、需要自动分发和学习路由的场景。前提:关联的用户网关必须已配置 ASN。
本端自治系统号:启用BGP后,阿里云侧的ASN号。默认值:45104,取值范围:1~4294967295。对端云下设备配置自治系统号时,建议使用私有 ASN 号。
版本:推荐使用ikev2。IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持。国密型VPN网关的IKE版本仅支持ikev1。
main(默认值):主模式。此模式加密传输身份信息,协商过程安全性比aggressive高。
VPN网关实例的带宽规格为200 Mbps及以上时,推荐使用aes128、aes192、aes256加密算法,不推荐使用3des加密算法。
aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。
3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
DH分组(完美向前加密 PFS):选择第一阶段协商的Diffie-Hellman密钥交换算法。
SA生存周期(秒):设置第一阶段协商出的SA(SecurityAssociation,安全关联)的生存周期。默认值:86400。取值范围:0~86400。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云,无其他作用。支持使用IP地址格式或FQDN(FullyQualifiedDomainName)格式,不能包含空格。推荐使用私网IP地址作为隧道本端的标识。
如果LocalId使用了FQDN格式,例如输入则本地网关设备上IPsec连接的对端ID需与LocalId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
RemoteId:隧道对端的标识符。默认值使用隧道关联的用户网关中的IP地址作为隧道对端标识符。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地网关设备,无其他作用。支持使用IP地址格式或FQDN(FullyQualifiedDomainName)格式,不能包含空格。推荐使用私网IP地址作为隧道对端的标识。
如果RemoteId使用了FQDN格式,例如输入,则本地网关设备上IPsec连接的本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
VPN网关实例的带宽规格为200 Mbps及以上时,推荐使用aes128、aes192、aes256加密算法,不推荐使用3des加密算法。
aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。
3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
SA生存周期(秒):设置第二阶段协商出的SA的生存周期。默认值:86400。取值范围:0~86400。
开启DPD功能后,IPsec连接会发送DPD报文用来检测对端的设备是否存活,如果在设定时间内未收到正确回应则认为对端已经断线,IPsec连接将删除ISAKMP SA和相应的IPsec SA,安全隧道同样也会被删除。DPD检测超时后,IPsec连接会自动重新发起IPsec-VPN隧道协商。DPD报文的超时时间为30秒。
NAT穿越:建议保持默认开启。开启后,IKE协商过程会删除对UDP端口号的验证过程,同时能发现加密通信通道中的NAT网关设备。
系统默认关闭。在非主备 IPsec-VPN 连接的应用场景下,不推荐为 IPsec 连接配置健康检查。如果配置健康检查,需确保目标IP支持 ICMP 应答,且需要在本地数据中心侧添加一条目标网段为源IP,子网掩码为32位,下一跳指向IPsec连接的路由条目,以确保IPsec连接健康检查功能正常工作。
在目标IPsec连接的操作列单击生成对端配置,复制配置并保存到本地,以便用于配置本地网关设备。
根据在“配置IPsec连接”步骤中下载的对端配置,在本地数据中心的网关设备(如防火墙或路由器)上完成 IPsec 和 BGP(如果启用)的配置。具体配置方法请参考相应设备的厂商文档,示例:配置本地网关设备。