创建IPsec隧道

ZStack Cloud主菜单,点击资源中心 > 网络服务 > 高级网络服务 > IPsec隧道,进入IPsec隧道界面,点击创建IPsec隧道,弹出创建IPsec隧道界面。

可参考以下示例输入相应内容:
  • 名称:设置IPsec隧道名称,例如IPsec隧道-1
  • 简介:可选项,可留空不填
  • 虚拟IP方法:通过虚拟IP提供IPsec服务,包括新建虚拟IP、已有虚拟IP
    若选择新建虚拟IP,需填写以下参数
    • 公有网络:选择提供虚拟IP的公有网络
    • 网络段:可选项,可指定网络段。其中IPv4类型的公有网络支持选择普通网段或地址池网络段
    • 指定IP:可选项,可指定虚拟IP。若留空不填,系统会自动分配虚拟IP
    若选择已有虚拟IP,需设置以下参数
    • 虚拟IP:选择已有的虚拟IP地址
      Note: 路由器提供的系统虚拟IP支持用于IPsec服务。
  • 本地子网:选择路由器挂载的VPC网络,如果路由器仅挂载一个VPC网络则会默认选中该网络
  • 远端公网IP:填写远端网络用于IPsec服务的公网IP
  • 远端网络CIDR:填写远端网络指定的网络CIDR
    Note: 不能和路由器的管理网络、公有网络的网络段重叠。
  • 认证密钥:设置密钥,建议设置强度较高的密钥
  • 高级选项:可对高级选项进行设置,以下默认选项为可连通双边私网的选项
    • 认证模式:psk(默认)
    • 工作模式:tunnel(默认)
    • IKE验证算法:sha1(默认)
    • IKE加密算法:aes128(默认)
    • IKE完整前向保密:2(默认)
    • 传输安全协议:esp(默认)
    • ESP认证算法:sha1(默认)
    • ESP加密算法:aes128(默认)
    • 完全正向保密(PFS):dh-group2(默认)
    Note:
    • 如果客户场景设计ZStack Cloud的路由器与支持IPsec隧道的第三方设备对接,则需两端协商具体的高级配置信息。
    • 创建IPsec隧道时,需根据远端网络设备IPsec配置内容,调整本地高级设置内容。
Figure 1所示:
Figure 1. 创建IPsec隧道