10.11.12.0/24
,对端网段为192.168.1.0/24
;对端网关设备配置 SPD 策略中本端网段为192.168.1.0/24
,对端网段为10.11.12.0/24
。10.0.0.0/24
,对端网段为192.168.0.0/24
、192.168.1.0/24
,有两组匹配关系。10.0.1.0/24
,对端网段为192.168.2.0/24
,有一组匹配关系。10.0.2.0/24
,对端网段为192.168.2.0/24
,有一组匹配关系。
他们的匹配关系分别是:10.0.0.0/24
-----192.168.0.0/24
10.0.0.0/24
-----192.168.1.0/24
10.0.1.0/24
-----192.168.2.0/24
10.0.2.0/24
-----192.168.2.0/24
这四组匹配关系相互不能重叠,即他们的本端网段和对端网段不能同时重叠。10.0.0.0/24
-----192.168.1.0/24
匹配关系,则会因为和已有匹配关系重叠,而无法添加 SPD 规则。10.0.1.0/24
-----192.168.1.0/24
匹配关系,和已有的3个匹配关系均不重叠,则可以加入 SPD 规则。参数名称 | 说明 |
通道名称 | 自定义通道名称,字符长度为60个。 |
地域 | 您要创建的 VPN 通道关联的 VPN 网关所在的地域。 |
VPN 网关类型 | |
私有网络 | 仅当 VPN 网关类型为私有网络时,需要在此处选择 VPN 网关所属的私有网络。云联网类型无此参数。 |
VPN 网关 | 在列表中选择 VPN 网关。 |
对端网关 | 选择已创建的对端信息,如果没有,可选择新建。 |
对端网关 IP | 对端网关的公网 IP 地址。 |
预共享密钥 | 用于本端和对端网关之间的身份认证,本端和对端须使用相同的预共享密钥。 |
协商类型 | 流量协商:创建通道完成之后,当本端有流量进入时,开始与对端协商。 主动协商:通道创建后主动向对端发起协商。 被动协商:等待对端发起协商。 |
通信模式 |
参数名称 | 说明 |
开启 DPD 检测 | DPD 检测开启/关闭开关,用于检测对端是否存活,默认开启。
本端主动向对端发送 DPD 请求报文,若在指定超时时间内未收到对端的回应报文,则认为对端离线,进行超时后对应操作。 |
DPD 超时时间 | DPD 探测总体超时时间。默认30秒,取值范围30秒~60秒。 |
DPD 超时操作 | 断开:清除当前 SA,且当前 VPN 通道断开。 重试:重新与对端建立连接。 |
参数名称 | 说明 |
开启健康检查 | 健康检查用于主备通道的场景,具体请参考 IDC 与单个腾讯云 VPC 实现主备容灾。如果您不涉及,无需开启此开关(默认不开启),否则请开启本开关,并完成下面的健康检查本端及对端地址的配置,详情请参见配置健康检查。 说明: 一旦您开启健康检查并创建通道完成,系统立即开始通过 NQA 检测 VPN 通道健康状况,如果 VPN 通道未联通或您配置的对端地址不响应 NQA 探测,则系统会在多次探测失败后判定为不健康,并临时中断业务流量,直到 VPN 通道恢复健康。 |
健康检查本端地址 | 仅当开启健康检查功能时,需要设置此参数。您可以使用系统为您分配的 IP 地址或者指定。 说明: 指定地址不能与 VPC 或 CCN 以及 IDC 通信私网地址或网段冲突,也不能与健康检查对端地址冲突。不能使用多播、广播及本地环回地址。 |
健康检查对端地址 | 仅当开启健康检查功能时,需要设置此参数。您可以使用系统为您分配的 IP 地址或者指定。 说明: 指定地址不能与 VPC 或 CCN 以及 IDC 通信私网地址或网段冲突,也不能与健康检查本端地址冲突。不能使用多播、广播及本地环回地址。 |
配置项 | 说明 |
版本 | IKE V1、IKE V2。 |
身份认证方法 | 加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4,推荐使用 AES-128。 |
认证算法 | 身份认证算法,支持 MD5、SHA1、SHA256、AES-383、SHA512、SM3,推荐使用 MD5。 |
协商模式 | 支持 main(主模式)和 aggressive(野蛮模式)二者的不同之处在于,aggressive 模式可以用更少的包发送更多信息,可以快速建立连接,但是是以清晰的方式发送安全网关的身份。使用 aggressive 模式时,配置参数如 Diffie-Hellman 和 PFS 不能进行协商,要求两端拥有兼容的配置。
|
本端标识 | 支持 IP Address 和 FQDN(全称域名),默认 IP Address。 |
对端标识 | 支持 IP Address 和 FQDN ,默认 IP Address。 |
DH group | 指定 IKE 交换密钥时使用的 DH 组,密钥交换的安全性随着 DH 组的扩大而增加,但交换的时间也增加了。 DH1:采用 768-bit 模指数(Modular Exponential,MODP )算法的 DH 组。 DH2:采用 1024-bit MODP 算法的 DH 组。 DH5:采用 1536-bit MODP 算法的 DH 组。 DH14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项。 DH24:带 256 位的素数阶子群的 2048-bit MODP 算法 DH 组。 |
IKE SA Lifetime | 单位:s
设置 IKE 安全提议的 SA 生存周期,在设定的生存周期超时前,会提前协商另一个 SA 来替换旧的 SA。在新的 SA 还没有协商完之前,依然使用旧的 SA;在新的 SA 建立后,将立即使用新的 SA,而旧的 SA 在生存周期超时后,将被自动清除。 |
配置项 | 说明 |
加密算法 | 加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4。 |
认证算法 | 身份认证算法,支持 MD5、SHA1、SHA256、SHA384、SHA512、SM3。 |
报文封装模式 | Tunnel。 |
安全协议 | ESP。 |
PFS | 支持 disable、DH-GROUP1、DH-GROUP2、DH-GROUP5、DH-GROUP14 和 DH-GROUP24。 |
IPsec SA lifetime(s) | 单位:s。 |
IPsec SA lifetime(KB) | 单位:KB。 |
配置项 | 说明 |
版本 | IKE V1、IKE V2。 |
身份认证方法 | 默认预共享密钥。 |
加密算法 | 加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4,推荐使用 AES-128。 |
认证算法 | 身份认证算法,支持 MD5、SHA1、SHA256、AES-383、SHA512、SM3,推荐使用 MD5。 |
协商模式 | 支持 main(主模式)和 aggressive(野蛮模式)
二者的不同之处在于,aggressive 模式可以用更少的包发送更多信息,可以快速建立连接,但是是以清晰的方式发送安全网关的身份。使用 aggressive 模式时,配置参数如 Diffie-Hellman 和 PFS 不能进行协商,要求两端拥有兼容的配置。 |
本端标识 | 支持 IP Address 和 FQDN(全称域名),默认 IP Address。 |
对端标识 | 支持 IP Address 和 FQDN ,默认 IP Address。 |
DH group | 指定 IKE 交换密钥时使用的 DH 组,密钥交换的安全性随着 DH 组的扩大而增加,但交换的时间也增加了。 DH1:采用 768-bit 模指数(Modular Exponential,MODP )算法的 DH 组。 DH2:采用 1024-bit MODP 算法的 DH 组。 DH5:采用 1536-bit MODP 算法的 DH 组。 DH14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项。 DH24:带 256 位的素数阶子群的 2048-bit MODP 算法 DH 组。 |
IKE SA Lifetime | 单位:s
设置 IKE 安全提议的 SA 生存周期,在设定的生存周期超时前,会提前协商另一个 SA 来替换旧的 SA。在新的 SA 还没有协商完之前,依然使用旧的 SA;在新的 SA 建立后,将立即使用新的 SA,而旧的 SA 在生存周期超时后,被自动清除。 |
配置项 | 说明 |
加密算法 | 加密算法支持 AES-128、AES-192、AES-256、3DES、DES、SM4 |
认证算法 | 身份认证算法,支持 MD5、SHA1、SHA256、SHA384、SHA512、SM3 |
报文封装模式 | Tunnel |
安全协议 | ESP |
PFS | 支持 disable、DH-GROUP1、DH-GROUP2、DH-GROUP5、DH-GROUP14 和 DH-GROUP24 |
IPsec SA lifetime(s) | 单位:s |
IPsec SA lifetime(KB) | 单位:KB |
本页内容是否解决了您的问题?