IPsec VPN网关

私有网络 VPC

  • 产品定价
  • 功能发布记录
  • 产品描述
    • 相关概念
    • 产品特性
    • 使用限制
    • 产品优势
    • 产品介绍
    • 应用场景
  • 典型实践
    • Windows使用HAVIP配置主备多机
    • VPC自定义路由表实现流量安全互访
    • 配置自定义服务并使用服务网卡为其他VPC提供服务
    • 对等连接典型实践
    • 使用Terraform管理弹性网卡典型实践
    • 二层网关与专线接入ET组合构建IDC与云上VPC大二层网络
    • 网络层安全说明
    • 安全组配置实践(进阶篇)
    • HAVIP结合Keepalived实现主备多机高可用
    • 使用Keepalived在VPC实现高可用架构
    • 使用Terraform管理IPsec VPN网关典型实践
    • 安全组配置实践(入门篇)
  • 操作指南
    • 多用户访问控制
    • 子网
    • 网络拓扑
    • 使用IPv6
    • 标签管理
    • 路由表
    • VPC
    • 网卡
      • 高可用虚拟IP
      • 弹性网卡
      • 服务网卡
    • 网络诊断
      • 路径分析
      • 网关限速
      • 网络探测
      • 端口验通
      • 流量镜像
      • 流日志
    • 监控与运维
      • NAT网关实例诊断
    • 访问控制
      • ACL
      • 参数模版
      • 安全组
    • 网络连接
      • 二层网关
      • 专线网关
      • 对等连接
      • IPv6网关
      • VPN网关
        • SSL VPN网关
        • GRE VPN网关
        • IPsec VPN网关
      • NAT网关
        • 私网NAT网关
        • 公网NAT网关
  • 服务等级协议SLA
    • 服务网卡服务等级协议SLA
    • VPN网关服务等级协议SLA
    • IPv6网关服务等级协议SLA
    • 对等连接服务等级协议SLA
    • NAT网关服务等级协议SLA
  • API参考
    • 通用说明
    • 接口概览
    • API概述
    • 附录
    • 公共头和错误返回
    • 服务域名
    • API功能发布记录
    • ACL相关接口
      • 添加ACL规则
      • 更新ACL规则
      • 删除ACL规则
      • 查询ACL规则
      • 查询ACL
    • IPv6网关相关接口
      • IPv6网关带宽升降级
      • 创建IPv6网关
      • 更新IPv6网关限速策略
      • 删除Ipv6网关
      • 更新IPv6网关释放保护开关
      • 查询IPv6网关限速策略列表
      • 创建IPv6网关限速策略
      • 添加IPv6只出不进策略
      • 删除IPv6只出不进策略
      • 查询IPv6只出不进策略列表
      • 查询IPv6网关
      • 删除IPv6网关限速策略
    • 弹性网卡相关接口
      • 删除弹性网卡
      • 批量删除弹性网卡内网IP
      • 弹性网卡更新企业安全组
      • 创建弹性网卡
      • 弹性网卡卸载云产品实例
      • 删除弹性网卡辅助IP
      • 弹性网卡绑定EIP
      • 查询弹性网卡列表
      • 增加弹性网卡辅助IP
      • 弹性网卡更新普通安全组
      • 批量增加弹性网卡内网IP
      • 查询弹性网卡状态
      • 更新弹性网卡
      • 弹性网卡挂载云产品实例
      • 弹性网卡解绑EIP
      • 查询指定的弹性网卡
    • 参数模板相关接口
      • 创建IP地址族
      • 更新IP地址组
      • 查询指定的IP地址组
      • 更新IP地址族
      • 创建IP地址组
      • 查询IP地址族列表
      • 查询指定的IP地址族
      • IP地址组删除IP地址
      • IP地址组添加IP地址
      • 删除IP地址族
      • IP地址族移除IP地址组
      • 查询IP地址组列表
      • 删除IP地址组
      • IP地址族添加IP地址组
    • 子网相关接口
      • 更新子网
      • 创建预留网段
      • 查询预留网段列表
      • 删除预留网段
      • 查询指定子网
      • 创建子网
      • 查询子网列表
      • 删除子网
    • VPC相关接口
      • 关闭VPC中继
      • 删除VPC
      • 查询指定VPC
      • 创建VPC
      • 查询VPC列表
      • 查询VPC内产品占用IP
      • 开启VPC中继
      • 查询VPC内网IP
      • 更新VPC
    • 网关限速规则相关接口
      • 查看网关限速规则
      • 修改网关限速规则
      • 创建网关限速规则
      • 删除网关限速规则
    • 对等连接相关接口
      • 释放对等连接
      • 关闭对等连接同步DNS
      • 处理对等连接申请
      • 更新对等连接释放保护开关
      • 对等连接续费
      • 查看对等连接详情
      • 创建对等连接
      • 查询对等连接列表
      • 开启对等连接同步DNS
      • 对等连接带宽升降级
      • 更新对等连接本端接口名称和备注
    • 路由表相关接口
      • 查询路由规则
      • 删除路由规则
      • 主备切换
      • 创建路由规则
      • 更新路由规则
      • 查询路由表
    • VPN相关接口
      • VPN网关续费
      • 解绑EIP
      • 更新SSL-VPN用户
      • 删除VPN隧道
      • 查询VPN隧道
      • 删除SSL-VPN用户
      • 绑定EIP
      • 批量创建SSL-VPN用户
      • 更新VPN
      • 查询SSL-VPN用户
      • 删除SSL-VPN服务端
      • 释放VPN
      • 查询SSL-VPN服务端
      • 查询VPN列表
      • 更新SSL-VPN服务端
      • 更新VPN隧道
      • 创建VPN
      • 创建VPN隧道
      • 创建SSL-VPN服务端
      • 更新VPN释放保护开关
      • 查询VPN详情
    • 网络探测相关接口
      • 删除网络探测
      • 创建网络探测
      • 查询网络探测列表
      • 更新网络探测
      • 查询网络探测详情
    • NAT网关相关接口
      • 更新SNAT规则
      • 删除SNAT规则
      • 更新NAT网关名称
      • 查询NAT网关详情
      • 释放NAT网关
      • NAT网关解绑EIP
      • NAT网关绑定DNAT EIP
      • 创建SNAT规则
      • 创建DNAT规则
      • 更新DNAT规则
      • 更新NAT释放保护开关
      • NAT网关解绑DNAT EIP
      • 查询NAT网关列表
      • 删除DNAT规则
      • NAT网关绑定EIP
      • 查询SNAT规则
      • NAT网关绑定SNAT EIP
      • NAT网关续费
      • 批量创建DNAT规则
      • 批量创建SNAT规则
      • NAT网关变配
      • 查询DNAT规则
      • NAT网关解绑SNAT EIP
      • 创建NAT网关
    • 高可用虚拟IP相关接口
      • 高可用虚拟IP解绑EIP
      • 删除高可用虚拟IP
      • 高可用虚拟IP解绑实例
      • 高可用虚拟IP绑定EIP
      • 更新高可用虚拟IP
      • 查询指定的高可用虚拟IP
      • 创建高可用虚拟IP
      • 高可用虚拟IP绑定实例
      • 查询高可用虚拟IP列表
    • 服务网卡相关接口
      • 查询可挂载的公共服务
      • 查询服务网卡详情
      • 更新服务网卡
      • 查询服务网卡列表
      • 服务网卡更新企业安全组
      • 删除服务网卡
      • 服务网卡更新普通安全组
      • 创建服务网卡
    • 专线网关相关接口
      • 解绑物理专线
      • 创建专线网关
      • 绑定物理专线
      • 查询专线网关列表
      • 创建专线网关健康检查
      • 释放专线网关
      • 更新专线网关
      • 查询专线网关详情
    • 安全组相关接口
      • 普通安全组
        • 更新普通安全组规则
        • 删除普通安全组规则
        • 删除普通安全组
        • 授权普通安全组规则
        • 撤销普通安全组规则
        • 创建普通安全组
        • 查询普通安全组列表
        • 查看安全组详情
      • 企业安全组
        • 更新企业安全组规则
        • 创建企业安全组
        • 删除企业安全组规则
        • 授权企业安全组规则
        • 删除企业安全组
        • 查询企业安全组列表
  • 常见问题
    • 服务网卡常见问题
    • 路由表常见问题
    • VPC常见问题
    • NAT常见问题
    • 常见问题总览
    • VPN常见问题
  • VPC CLI
    • 路由表相关操作
    • VPC相关操作
    • 版本变更记录
    • 通过CLI使用VPC服务
    • 安装BCE-CLI
    • 配置BCE-CLI
    • 子网相关操作
  • SDK
    • Python-SDK
      • 企业安全组
      • VPN
      • 子网
      • ACL
      • IPv6Gateway
      • 高可用虚拟IP
      • 网络探测
      • 路由
      • 专线网关
      • 弹性网卡
      • VPC
      • 对等连接
      • 版本说明
      • NAT
      • 安装SDK工具包
      • 服务网卡
      • 安全组
      • 概述
    • Java-SDK
      • 企业安全组
      • VPN
      • 子网
      • ACL
      • 参数模版
      • 高可用虚拟IP
      • 网络探测
      • 专线网关
      • 弹性网卡
      • vpc
      • 对等连接
      • 版本说明
      • IPv6网关
      • NAT
      • 普通安全组
      • 安装SDK工具包
      • 服务网卡
      • Route
      • 概述
    • Go-SDK
      • VPN
      • 子网
      • 异常处理
      • ACL
      • IPv6Gateway
      • 高可用虚拟IP
      • 网络探测
      • 路由
      • 专线网关
      • 弹性网卡
      • VPC
      • 对等连接
      • 初始化
      • NAT
      • 安装SDK工具包
      • 服务网卡
      • 概述
      • 安全组
        • 企业安全组
        • 普通安全组
    • PHP-SDK
      • ACL
      • vpc
      • 对等连接
      • 版本说明
      • Subnet
      • NAT
      • 安装SDK工具包
      • Route
      • 安全组
      • 概述
所有文档
menu
没有找到结果,请重新输入

私有网络 VPC

  • 产品定价
  • 功能发布记录
  • 产品描述
    • 相关概念
    • 产品特性
    • 使用限制
    • 产品优势
    • 产品介绍
    • 应用场景
  • 典型实践
    • Windows使用HAVIP配置主备多机
    • VPC自定义路由表实现流量安全互访
    • 配置自定义服务并使用服务网卡为其他VPC提供服务
    • 对等连接典型实践
    • 使用Terraform管理弹性网卡典型实践
    • 二层网关与专线接入ET组合构建IDC与云上VPC大二层网络
    • 网络层安全说明
    • 安全组配置实践(进阶篇)
    • HAVIP结合Keepalived实现主备多机高可用
    • 使用Keepalived在VPC实现高可用架构
    • 使用Terraform管理IPsec VPN网关典型实践
    • 安全组配置实践(入门篇)
  • 操作指南
    • 多用户访问控制
    • 子网
    • 网络拓扑
    • 使用IPv6
    • 标签管理
    • 路由表
    • VPC
    • 网卡
      • 高可用虚拟IP
      • 弹性网卡
      • 服务网卡
    • 网络诊断
      • 路径分析
      • 网关限速
      • 网络探测
      • 端口验通
      • 流量镜像
      • 流日志
    • 监控与运维
      • NAT网关实例诊断
    • 访问控制
      • ACL
      • 参数模版
      • 安全组
    • 网络连接
      • 二层网关
      • 专线网关
      • 对等连接
      • IPv6网关
      • VPN网关
        • SSL VPN网关
        • GRE VPN网关
        • IPsec VPN网关
      • NAT网关
        • 私网NAT网关
        • 公网NAT网关
  • 服务等级协议SLA
    • 服务网卡服务等级协议SLA
    • VPN网关服务等级协议SLA
    • IPv6网关服务等级协议SLA
    • 对等连接服务等级协议SLA
    • NAT网关服务等级协议SLA
  • API参考
    • 通用说明
    • 接口概览
    • API概述
    • 附录
    • 公共头和错误返回
    • 服务域名
    • API功能发布记录
    • ACL相关接口
      • 添加ACL规则
      • 更新ACL规则
      • 删除ACL规则
      • 查询ACL规则
      • 查询ACL
    • IPv6网关相关接口
      • IPv6网关带宽升降级
      • 创建IPv6网关
      • 更新IPv6网关限速策略
      • 删除Ipv6网关
      • 更新IPv6网关释放保护开关
      • 查询IPv6网关限速策略列表
      • 创建IPv6网关限速策略
      • 添加IPv6只出不进策略
      • 删除IPv6只出不进策略
      • 查询IPv6只出不进策略列表
      • 查询IPv6网关
      • 删除IPv6网关限速策略
    • 弹性网卡相关接口
      • 删除弹性网卡
      • 批量删除弹性网卡内网IP
      • 弹性网卡更新企业安全组
      • 创建弹性网卡
      • 弹性网卡卸载云产品实例
      • 删除弹性网卡辅助IP
      • 弹性网卡绑定EIP
      • 查询弹性网卡列表
      • 增加弹性网卡辅助IP
      • 弹性网卡更新普通安全组
      • 批量增加弹性网卡内网IP
      • 查询弹性网卡状态
      • 更新弹性网卡
      • 弹性网卡挂载云产品实例
      • 弹性网卡解绑EIP
      • 查询指定的弹性网卡
    • 参数模板相关接口
      • 创建IP地址族
      • 更新IP地址组
      • 查询指定的IP地址组
      • 更新IP地址族
      • 创建IP地址组
      • 查询IP地址族列表
      • 查询指定的IP地址族
      • IP地址组删除IP地址
      • IP地址组添加IP地址
      • 删除IP地址族
      • IP地址族移除IP地址组
      • 查询IP地址组列表
      • 删除IP地址组
      • IP地址族添加IP地址组
    • 子网相关接口
      • 更新子网
      • 创建预留网段
      • 查询预留网段列表
      • 删除预留网段
      • 查询指定子网
      • 创建子网
      • 查询子网列表
      • 删除子网
    • VPC相关接口
      • 关闭VPC中继
      • 删除VPC
      • 查询指定VPC
      • 创建VPC
      • 查询VPC列表
      • 查询VPC内产品占用IP
      • 开启VPC中继
      • 查询VPC内网IP
      • 更新VPC
    • 网关限速规则相关接口
      • 查看网关限速规则
      • 修改网关限速规则
      • 创建网关限速规则
      • 删除网关限速规则
    • 对等连接相关接口
      • 释放对等连接
      • 关闭对等连接同步DNS
      • 处理对等连接申请
      • 更新对等连接释放保护开关
      • 对等连接续费
      • 查看对等连接详情
      • 创建对等连接
      • 查询对等连接列表
      • 开启对等连接同步DNS
      • 对等连接带宽升降级
      • 更新对等连接本端接口名称和备注
    • 路由表相关接口
      • 查询路由规则
      • 删除路由规则
      • 主备切换
      • 创建路由规则
      • 更新路由规则
      • 查询路由表
    • VPN相关接口
      • VPN网关续费
      • 解绑EIP
      • 更新SSL-VPN用户
      • 删除VPN隧道
      • 查询VPN隧道
      • 删除SSL-VPN用户
      • 绑定EIP
      • 批量创建SSL-VPN用户
      • 更新VPN
      • 查询SSL-VPN用户
      • 删除SSL-VPN服务端
      • 释放VPN
      • 查询SSL-VPN服务端
      • 查询VPN列表
      • 更新SSL-VPN服务端
      • 更新VPN隧道
      • 创建VPN
      • 创建VPN隧道
      • 创建SSL-VPN服务端
      • 更新VPN释放保护开关
      • 查询VPN详情
    • 网络探测相关接口
      • 删除网络探测
      • 创建网络探测
      • 查询网络探测列表
      • 更新网络探测
      • 查询网络探测详情
    • NAT网关相关接口
      • 更新SNAT规则
      • 删除SNAT规则
      • 更新NAT网关名称
      • 查询NAT网关详情
      • 释放NAT网关
      • NAT网关解绑EIP
      • NAT网关绑定DNAT EIP
      • 创建SNAT规则
      • 创建DNAT规则
      • 更新DNAT规则
      • 更新NAT释放保护开关
      • NAT网关解绑DNAT EIP
      • 查询NAT网关列表
      • 删除DNAT规则
      • NAT网关绑定EIP
      • 查询SNAT规则
      • NAT网关绑定SNAT EIP
      • NAT网关续费
      • 批量创建DNAT规则
      • 批量创建SNAT规则
      • NAT网关变配
      • 查询DNAT规则
      • NAT网关解绑SNAT EIP
      • 创建NAT网关
    • 高可用虚拟IP相关接口
      • 高可用虚拟IP解绑EIP
      • 删除高可用虚拟IP
      • 高可用虚拟IP解绑实例
      • 高可用虚拟IP绑定EIP
      • 更新高可用虚拟IP
      • 查询指定的高可用虚拟IP
      • 创建高可用虚拟IP
      • 高可用虚拟IP绑定实例
      • 查询高可用虚拟IP列表
    • 服务网卡相关接口
      • 查询可挂载的公共服务
      • 查询服务网卡详情
      • 更新服务网卡
      • 查询服务网卡列表
      • 服务网卡更新企业安全组
      • 删除服务网卡
      • 服务网卡更新普通安全组
      • 创建服务网卡
    • 专线网关相关接口
      • 解绑物理专线
      • 创建专线网关
      • 绑定物理专线
      • 查询专线网关列表
      • 创建专线网关健康检查
      • 释放专线网关
      • 更新专线网关
      • 查询专线网关详情
    • 安全组相关接口
      • 普通安全组
        • 更新普通安全组规则
        • 删除普通安全组规则
        • 删除普通安全组
        • 授权普通安全组规则
        • 撤销普通安全组规则
        • 创建普通安全组
        • 查询普通安全组列表
        • 查看安全组详情
      • 企业安全组
        • 更新企业安全组规则
        • 创建企业安全组
        • 删除企业安全组规则
        • 授权企业安全组规则
        • 删除企业安全组
        • 查询企业安全组列表
  • 常见问题
    • 服务网卡常见问题
    • 路由表常见问题
    • VPC常见问题
    • NAT常见问题
    • 常见问题总览
    • VPN常见问题
  • VPC CLI
    • 路由表相关操作
    • VPC相关操作
    • 版本变更记录
    • 通过CLI使用VPC服务
    • 安装BCE-CLI
    • 配置BCE-CLI
    • 子网相关操作
  • SDK
    • Python-SDK
      • 企业安全组
      • VPN
      • 子网
      • ACL
      • IPv6Gateway
      • 高可用虚拟IP
      • 网络探测
      • 路由
      • 专线网关
      • 弹性网卡
      • VPC
      • 对等连接
      • 版本说明
      • NAT
      • 安装SDK工具包
      • 服务网卡
      • 安全组
      • 概述
    • Java-SDK
      • 企业安全组
      • VPN
      • 子网
      • ACL
      • 参数模版
      • 高可用虚拟IP
      • 网络探测
      • 专线网关
      • 弹性网卡
      • vpc
      • 对等连接
      • 版本说明
      • IPv6网关
      • NAT
      • 普通安全组
      • 安装SDK工具包
      • 服务网卡
      • Route
      • 概述
    • Go-SDK
      • VPN
      • 子网
      • 异常处理
      • ACL
      • IPv6Gateway
      • 高可用虚拟IP
      • 网络探测
      • 路由
      • 专线网关
      • 弹性网卡
      • VPC
      • 对等连接
      • 初始化
      • NAT
      • 安装SDK工具包
      • 服务网卡
      • 概述
      • 安全组
        • 企业安全组
        • 普通安全组
    • PHP-SDK
      • ACL
      • vpc
      • 对等连接
      • 版本说明
      • Subnet
      • NAT
      • 安装SDK工具包
      • Route
      • 安全组
      • 概述
  • 文档中心
  • arrow
  • 私有网络VPC
  • arrow
  • 操作指南
  • arrow
  • 网络连接
  • arrow
  • VPN网关
  • arrow
  • IPsec VPN网关
本页目录
  • 创建IPsec VPN网关
  • 创建VPN隧道
  • 创建用户端VPN网关及参数
  • VPN配置路由表
  • VPN网关网络地址转换(NAT)配置
  • 云端静态NAT
  • IDC端静态NAT
  • IDC端DNAT
  • 云端DNAT
  • 查看监控数据
  • VPN网关监控
  • VPN隧道监控

IPsec VPN网关

更新时间:2025-08-22

IPsec VPN网关是一种通过公网加密通道连接您的IDC和私有网络的方式。

操作流程

image.png

IPsec VPN网关实例能够在控制台实现全自助配置,您需要完成以下几步才能实现使VPN连接生效:

创建IPsec VPN网关

  1. 在私有网络VPC控制台左侧导航栏选择“网络连接->VPN网关”,选择IPsec VPN网关页,点击“+创建IPsec VPN网关”

说明:

  • 如果您需要在非默认VPC中创建IPsec VPN网关,首先需要在该VPC中创建一个子网,详情请参考创建子网。
  • 每个VPC最多支持创建3个IPsec VPN 网关 ,如果您需要创建更多IPsec VPN网关,可以提交工单申请。
  1. 填写下列配置信息:
配置项 说明
付费方式 选择付费方式
当前地域 支持华北-北京、华北-保定、华南-广州、华东-上海、华东-苏州,华中-武汉、西南-成都、香港,通过左上角区域进行切换。
所在网络 VPN 所属的私有网络(VPC)
所在子网 VPN 所属VPC下对应可用区的子网。
VPN 网关名称 用户自定义 VPN 网关名称。
VPN 网关规格 用户选择VPN网关支持的最大转发能力,普通型VPN网关,最大转发能力200Mbps;增强型VPN网关,最大转发能力1000Mbps。
VPN 描述 该 VPN 网关的描述信息。
网关类型 支持公网和私网,公网指通过互联网建立加密隧道,需绑定百度智能云EIP产品。 私网指基于专线接入ET的私网连接建立加密隧道,需确保本端VPN网关和对端VPN网关的IP地址网络可达,如通过专线接入ET的专线通道可达。
VPN 公网带宽 (可选,仅当网关类型为公网时展示)用户绑定的公网EIP 。
资源分组 选择资源分组
购买时长 选择购买时长
自动续费 选择是否自动续费
  1. 确认订单并进行支付后,IPsec VPN网关创建完成。

创建VPN隧道

  1. 在 IPsec VPN网关列表页,选择IPsec VPN网关,点击网关最前方的向下箭头出现VPN隧道列表。

    0b9207947b2704dfe921b7541.png

    说明: 每个IPsec VPN网关最多支持10条IPsec VPN隧道,如果您需要创建更多IPsec VPN隧道,可以提交工单申请。

  2. 点击 "创建VPN隧道",输入下列配置信息:

    基本配置

    配置项 说明
    所在私有网络 VPN 所属的私有网络(VPC)。
    VPN隧道名称 用户自定义VPN隧道名称。
    共享密钥 共享密钥是用于验证 IPsec 连接的 Unicode 字符串,本端和对端必须使用相同的预共享密钥。
    通信模式 支持目的路由模式和感兴趣流模式。目的路由模式指基于目的IP进行路由转发,不用写协商的本端网段。通常使用网段数量大于2时推荐使用.感兴趣流模式指基于安全联盟SA,需要写协商的本端网络和对端网络。通常使用网段数量较少时使用。 如果选择目的路由模式,本端网段和对端网段均为0.0.0.0/0,需在创建IPsec连接再在VPN网关内手动添加策略路由或目的路由。
    本端VPN网关公网IP (可选,仅当网关类型为公网时展示)本端VPN 网关用于公网加密通信的公网IP/带宽。 如VPN网关选择增强型,则本端使用的公网IP/带宽购买需参考弹性公网IP EIP的购买带宽限制细则,详见。
    本端私网IP (可选,仅当网关类型为私网时展示)
    本端网络 (可选,仅当通信模式为感兴趣流模式时展示该字段),字段表示百度智能云VPC中需要进入VPN隧道的子网。
    对端VPN网关公网IP (可选,仅当网关类型为公网时展示)对端网关是指 IDC 机房的 IPsec VPN 服务网关,对端网关需与百度智能云 VPN 网关配合使用。
    对端VPN网关IP (可选,仅当网关类型为私网时展示) 需确保本端VPN网关和对端VPN网关的IP地址网络可达,如通过专线接入ET的专线通道可达。
    对端网络 对端需要通过VPN隧道连通的网段。
    描述 该 VPN 隧道的描述信息。

    说明:同一个VPN网关中只能有一种通信模式。即:如第一个隧道使用的通信模式为“目的路由模式”,则后续在同一个网关中新建隧道只能选择“目的路由模式”;如第一个隧道使用的通信模式为“感兴趣流模式”,则后续在同一个网关中新建隧道只能选择“感兴趣流模式”。

    高级配置:IKE配置

    配置项 说明
    版本 选择IKE协议的版本。目前支持IKE V1和IKE V2,建议在设备支持且有多网段和安全性要求较高的情况下,推荐用IKE V2。
    协商模式 选择IKE V1版本的协商模式。
    - 主模式(main):协商过程安全性高。
    - 野蛮模式(aggressive):协商快速且协商成功率高。
    协商成功后两种模式的信息传输安全性相同。
    加密算法 选择第一阶段协商使用的加密算法。支持aes、aes192、aes256和3des,其中3des安全性较低,不推荐使用。
    认证算法 第一阶段协商使用的认证算法。支持sha1(安全性较低,不推荐使用)、md5(安全性较低,不推荐使用)、sha2_256、sha2_384和sha2_512。
    本端标识 支持 IP address 和 FQDN(全称域名),“本端标识”与隧道对端配置的“远端标识”需一致。
    远端标识 支持 IP address 和 FQDN(全称域名),“远端标识”与隧道对端配置的“本端标识”需一致。
    DH分组 支持的算法:Group2、Group5、Group14、Group24(推荐使用)、disabled(表示不使用DH密钥交换算法),选择第一阶段协商的Diffie-Hellman密钥交换算法。
    SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。默认值为28800秒。

    高级配置:IPsec配置

    配置项 说明
    加密算法 选择第二阶段协商的加密算法。支持aes、aes192、aes256和3des,其中3des安全性较低,不推荐使用。
    认证算法 选择第二阶段协商的认证算法。支持sha1(安全性较低,不推荐使用)、md5(安全性较低,不推荐使用)、sha2_256、sha2_384和sha2_512。
    DH分组 支持的算法:Group2、Group5、Group14、Group24(推荐使用)、disabled(表示不使用DH密钥交换算法),选择第二阶段协商的Diffie-Hellman密钥交换算法。
    SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。默认值为28800秒。

创建用户端VPN网关及参数

用户端网关(对端网关)是指用户机房的IPsec VPN服务网关,对端网关需与百度智能云IPsec VPN网关配合使用,配置时参见VPN隧道高级配置。

说明: 本地IDC的VPN网关设备应开启NAT穿越。

至此,VPN 成功接入。

VPN配置路由表

VPN连接成功后,您需要在VPN隧道两端分别配置路由表,实现云环境和用户侧网络的流量互通。在百度智能云中配置路由表的步骤如下:

  1. 导航栏选择“路由表”,点击路由表名称进入详情页,点击“添加路由”。
  2. 输入与访问用户侧网络所关联的路由表。
  • 源网段
  • 输入目标网段
  • 路由类型,选择“VPN网关”
  • 下一跳实例,选择已创建的VPN网关
  1. 点击“确定”,完成路由表配置,关联此路由表子网内的BCC访问用户侧网络时流量将指向该VPN网关。

VPN网关网络地址转换(NAT)配置

网络地址转换(NAT)是混合云场景IP地址冲突问题的一种解决方案。VPN网关支持云端静态NAT、IDC端静态NAT、IDC端DNAT和云端DNAT四种转换规则,可解决VPN网关的IP地址冲突问题,隐藏IP地址实现安全要求。

以下示意图中的本端指的是云上私有网络,对端指的是用户IDC端。

说明: 仅IPsec VPN网关支持NAT功能,SSL VPN网关与GRE VPN网关均不支持NAT。

云端静态NAT

  • 云端(本端)IP 转换:指私有网络内原IP映射为新IP,并以新IP身份与VPN对端互访。
  • 云端(本端)IP 转换不限制网络请求的方向,可以是私有网络主动访问VPN对端,也可以是VPN对端主动访问私有网络。

image.png

IDC端静态NAT

  • IDC端(对端)静态NAT指用户IDC 内原IP映射为新IP,并以新 IP 身份与私有网络内IP互访。
  • IDC端(对端)静态NAT的转换不限制网络请求的方向,可以是私有网络主动访问VPN对端,也支持VPN对端主动访问私有网络。

image.png

IDC端DNAT

IDC端DNAT即本端目的 IP 端口转换是IDC侧主动访问私有网络的一种方法,将私有网络内指定 IP 的指定端口映射为新的 IP 和端口,IDC侧则只可以通过访问映射后 IP 端口来与私有网络内指定 IP 端口通信,其他 IP 端口则不对IDC端暴露。

image.png

云端DNAT

云端DNAT将IDC内(对端)指定 IP端口映射为新IP端口,VPC侧只可以通过访问映射后 IP 端口来与IDC内指定 IP 端口通信。

image.png

查看监控数据

VPN网关监控

  1. 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏选择“网络连接->VPN网关”,进入VPN网关实例列表。
  2. 选择实例后面的"监控",页面右侧出现监控浮窗。
  3. 点击"查看更多",进入实例详情页面的监控。
  4. 在监控页面点击“报警详情”进入报警策略配置页面,可以管理VPN网关的报警策略,详细操作步骤请见BCM报警管理。

VPN隧道监控

  1. 登录管理控制台,选择"产品服务 >私有网络VPC",在左侧导航栏选择“网络连接->VPN网关”,进入VPN网关实例列表。
  2. 在已创建的VPN网关实例列表中,点击“隧道数量”下面的箭头出现VPN隧道列表。
  3. 选择VPN隧道后面的"监控",出现查看监控数据弹窗。
  4. 在列表操作中点击“报警详情”进入报警策略配置页面,可以管理VPN隧道的报警策略,详细操作步骤请见BCM报警管理。

上一篇
GRE VPN网关
下一篇
NAT网关