创建IPsec隧道

ZStack Cloud主菜单,点击资源中心 > 网络服务 > 高级网络服务 > IPsec隧道,进入IPsec隧道界面,点击创建IPsec隧道,弹出创建IPsec隧道界面。

可参考以下示例输入相应内容:
  • 名称:设置IPsec隧道名称,例如IPsec隧道-1
  • 简介:可选项,可留空不填
  • 本端IP地址
    • 虚拟IP方法:通过虚拟IP提供IPsec服务,包括创建虚拟IP、已有虚拟IP
      若选择创建虚拟IP,需填写以下参数:
      • 公有网络:选择提供虚拟IP的公有网络
      • 网络段:可选项,可指定网络段。其中IPv4类型的公有网络支持选择普通网段或地址池网络段
      • 指定IP:可选项,可指定虚拟IP。若留空不填,系统会自动分配虚拟IP
      若选择已有虚拟IP,需设置以下参数:
      • 虚拟IP:选择已有的虚拟IP地址
        Note: VPC路由器提供的系统虚拟IP支持用于IPsec服务。
  • 对端IP地址:填写目的网络用于IPsec服务的公网IP
  • 源网络CIDR:选择路由器挂载的VPC网络,如果路由器仅挂载一个VPC网络则会默认选中该网络
  • 目的网络CIDR:填写目的网络指定的网络CIDR
    Note: 不能和VPC路由器的管理网络、公有网络的网络段重叠。
  • 认证模式:psk(默认)
  • 认证密钥:设置密钥,建议设置强度较高的密钥
    Note: 本端和对端的认证密钥需保持完全一致。
  • ID配置方法:为本端和对端设备配置ID,支持IP地址和名称两种方式:
    • IP地址:通过IP地址标识本端和对端设备
      • 本端ID:标识本端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
      • 对端ID:标识对端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
    • 名称:通过名称标识本端和对端设备
      • 本端ID:标识本端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
      • 对端ID:标识对端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
  • 高级设置:云平台提供IKE和IPsec两类高级选项配置,以下默认选项为可连通双边私网的选项
    • IKE配置
      • IKE版本:IKEv2(默认)
      • IKE验证算法:sha256(默认)
      • IKE加密算法:aes-256(默认)
      • IKE DH组:2(默认)
    • IPsec配置
      • 封装模式:tunnel(默认)
      • 传输安全协议:esp(默认)
      • ESP认证算法:sha256(默认)
      • ESP加密算法:aes-256(默认)
      • PFS DH组:dh-group14(默认)
    Note:
    • 如果客户场景设计ZStack Cloud的VPC路由器与支持IPsec隧道的第三方设备对接,则需两端协商具体的高级配置信息。
    • 创建IPsec隧道时,需根据远端网络设备IPsec配置内容,调整本地高级设置内容。
Figure 1所示:
Figure 1. 创建IPsec隧道