IPsec VPN网关
更新时间:2025-07-28
产品介绍
IPsec VPN网关是一种通过公网加密通道连接您中心云私有网络/IDC和边缘云私有网络的方式。
操作流程
IPsec VPN网关实例能够在控制台实现全自助配置,您需要完成以下几步才能实现使VPN连接生效:
注意事项:配置两端IPsec VPN网关之前需要确保两端内网IP不存在冲突。
创建IPsec VPN网关
- 登录百度智能云BEC控制台。
- 在边缘计算节点BEC控制台左侧导航栏选择“边缘网络->VPN网关”,进入VPN网关页,点击“+创建IPsec VPN网关”
- 填写以下配置信息:
| 配置项 | 说明 |
|---|---|
| 计费设置 | 选择计费方式 |
| VPN 网关名称 | 用户自定义 VPN 网关名称。名称需要符合命名规则:支持大小写字母、数字、中文和“-_/.+“,长度1-64。 |
| VPN 描述 | 该 VPN 网关的描述信息。 |
| 节点选择 | 选择待创建IPsec VPN网关的边缘节点及私有网络 |
| 网关类型 | 仅支持公网,公网指通过互联网建立加密隧道,需绑定EIP产品。 |
| VPN云端公网IP | 选择需要绑定的EIP |
| 标签管理 | 标签支持您按各种标准(如用途、所有者或项目)对资源进行分类;每个标签包含键和值两部分 |
3.确认订单并进行支付后,IPsec VPN网关创建完成。
创建VPN隧道
- 在 IPsec VPN网关列表页,选择IPsec VPN网关,点击网关最前方的向下箭头出现VPN隧道列表。
- 点击 "创建VPN隧道",输入下列配置信息:
基本配置
| 配置项 | 说明 |
|---|---|
| 所在私有网络 | VPN 所属的私有网络(VPC)。 |
| VPN隧道名称 | 用户自定义VPN隧道名称。 |
| 共享密钥 | 共享密钥是用于验证 IPsec 连接的 Unicode 字符串,本端和对端必须使用相同的预共享密钥。 |
| 通信模式 | 支持目的路由模式和感兴趣流模式。目的路由模式指基于目的IP进行路由转发,不用写协商的本端网段。通常使用网段数量大于2时推荐使用.感兴趣流模式指基于安全联盟SA,需要写协商的本端网络和对端网络。通常使用网段数量较少时使用。 如果选择目的路由模式,本端网段和对端网段均为0.0.0.0/0,需在创建IPsec连接再在VPN网关内手动添加策略路由或目的路由。注意:同一个VPN网关中只能有一种通信模式。即:如第一个隧道使用的通信模式为“目的路由模式”,则后续在同一个网关中新建隧道只能选择“目的路由模式”;如第一个隧道使用的通信模式为“感兴趣流模式”,则后续在同一个网关中新建隧道只能选择“感兴趣流模式”。 |
| 本端VPN网关公网IP | 本端VPN 网关用于公网加密通信的公网IP/带宽。 |
| 本端网络 | (可选,仅当通信模式为感兴趣流模式时展示该字段),字段表示百度智能云VPC中需要进入VPN隧道的子网。 |
| 对端VPN网关公网IP | 对端网关是指 IDC 机房的 IPsec VPN 服务网关,对端网关需与百度智能云 VPN 网关配合使用。 |
| 对端网络 | 对端需要通过VPN隧道连通的网段。支持添加多个对端网络。 |
| 描述 | 该 VPN 隧道的描述信息。 |
高级配置:IKE配置
| 配置项 | 说明 |
|---|---|
| 版本 | 选择IKE协议的版本。目前支持IKE V1和IKE V2,建议在设备支持且有多网段和安全性要求较高的情况下,推荐用IKE V2。 |
| 协商模式 | 选择IKE V1版本的协商模式。- 主模式(main):协商过程安全性高。- 野蛮模式(aggressive):协商快速且协商成功率高。协商成功后两种模式的信息传输安全性相同。 |
| 加密算法 | 选择第一阶段协商使用的加密算法。支持aes、aes192、aes256和3des,其中3des安全性较低,不推荐使用。 |
| 认证算法 | 第一阶段协商使用的认证算法。支持sha1(安全性较低,不推荐使用)、md5(安全性较低,不推荐使用)、sha2_256、sha2_384和sha2_512。 |
| 本端标识 | 支持 IP address 和 FQDN(全称域名),“本端标识”与隧道对端配置的“远端标识”需一致。 |
| 远端标识 | 支持 IP address 和 FQDN(全称域名),“远端标识”与隧道对端配置的“本端标识”需一致。 |
| DH分组 | 支持的算法:Group2、Group5、Group14、Group24(推荐使用)、disabled(表示不使用DH密钥交换算法),选择第一阶段协商的Diffie-Hellman密钥交换算法。 |
| SA生存周期(秒) | 设置第一阶段协商出的SA的生存周期。默认值为28800秒。 |
高级配置:IPsec配置
| 配置项 | 说明 |
|---|---|
| 加密算法 | 选择第二阶段协商的加密算法。支持aes、aes192、aes256和3des,其中3des安全性较低,不推荐使用。 |
| 认证算法 | 选择第二阶段协商的认证算法。支持sha1(安全性较低,不推荐使用)、md5(安全性较低,不推荐使用)、sha2_256、sha2_384和sha2_512。 |
| DH分组 | 支持的算法:Group2、Group5、Group14、Group24(推荐使用)、disabled(表示不使用DH密钥交换算法),选择第二阶段协商的Diffie-Hellman密钥交换算法。 |
| SA生存周期(秒) | 设置第二阶段协商出的SA的生存周期。默认值为28800秒。 |
创建用户端VPN网关及参数
用户端网关(对端网关)是指用户机房的IPsec VPN服务网关,对端网关需与百度智能云IPsec VPN网关配合使用,配置时参见VPN隧道高级配置。
说明:本地IDC的VPN网关设备应开启NAT穿越。
至此,VPN 成功接入。