创建IPsec连接时，您可以选择为IPsec连接开启或关闭以下功能：

DPD：对等体存活检测DPD（Dead Peer Detection）功能。

开启DPD功能后，IPsec发起端会发送DPD报文用来检测对端的设备是否存活，如果在设定时间内未收到正确回应则认为对端已经断线，IPsec将删除ISAKMP SA和相应的IPsec SA，安全隧道同样也会被删除。

系统默认开启该功能。

NAT穿越：NAT（Network Address Translation）穿越功能。

开启NAT穿越功能后，IKE协商过程会删除对UDP端口号的验证过程，同时能帮您发现加密通信通道中的NAT网关设备。

系统默认开启该功能。

BGP：BGP（Border Gateway Protocol）动态路由功能。

开启BGP功能后，IPsec连接将通过BGP动态路由协议自动学习和发布路由，可以帮您降低网络维护成本和网络配置风险。

系统默认关闭该功能。

健康检查：IPsec连接的健康检查功能。

在使用同一个VPN网关实例搭建主备IPsec-VPN连接的场景中，您可以通过为IPsec连接配置健康检查来自动探测主备链路的连通性。配置健康检查功能后，系统将通过向目的IP地址发送ICMP（Internet Control Message Protocol ）请求报文来探测IPsec-VPN连接的连通性，如果检测到主链路不可用，则系统会自动将流量切换备链路进行传输，帮助您提高网络的高可用性。

IPsec连接健康检查失败后系统会重置IPsec隧道，在非主备IPsec-VPN连接的应用场景下，不推荐您为IPsec连接配置健康检查，您可以为IPsec连接开启DPD功能来探测对端的连通性。

系统默认关闭该功能。

如果VPN网关实例是最新版本，则IPsec连接默认支持DPD功能、NAT穿越功能、BGP动态路由功能和健康检查功能；如果VPN网关实例不是最新版，则您仅可使用当前版本支持的功能。

您可以在升级按钮处查看VPN网关是否是最新版本，如果不是最新版本，您可以通过升级按钮进行升级。具体操作，请参见升级VPN网关。

在创建IPsec连接前，请您先了解IPsec-VPN连接的使用流程，并依据使用流程完成创建IPsec连接前的所有操作步骤。更多信息，请参见使用流程。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。

在顶部菜单栏，选择IPsec连接的地域。

IPsec连接的地域需和待绑定的VPN网关实例所属的地域相同。

在IPsec连接页面，单击创建IPsec连接。

在创建IPsec连接页面，根据以下信息配置IPsec连接，然后单击确定。

配置

说明

名称

输入IPsec连接的名称。

资源组

选择VPN网关实例所属的资源组。

如果您不选择，系统直接展示所有资源组下的VPN网关实例。

绑定资源

选择IPsec连接绑定的资源类型。请选择VPN网关。

VPN网关

选择IPsec连接待绑定的VPN网关实例。

路由模式

选择IPsec连接的路由模式。

目的路由模式（默认值）：基于目的IP地址路由和转发流量。

感兴趣流模式：基于源IP地址和目的IP地址精确的路由和转发流量。

选择感兴趣流模式后，您需要配置本端网段和对端网段。IPsec连接配置完成后，系统自动在VPN网关实例的策略路由表中添加策略路由。

系统在VPN网关实例的策略路由表中添加策略路由后，路由默认是未发布状态。您可以依据网络互通需求决定是否将路由发布至VPC的路由表中。具体操作，请参见发布策略路由。

如果IPsec连接绑定了VPN网关实例，且您选择的VPN网关实例为旧版VPN网关实例，则您无需选择路由模式。

本端网段

输入需要和本地数据中心互通的VPC侧的网段，用于第二阶段协商。

单击文本框右侧的图标，可添加多个需要和本地数据中心互通的VPC侧的网段。

如果您配置了多个网段，则后续IKE协议的版本需要选择为ikev2。

对端网段

输入需要和VPC互通的本地数据中心侧的网段，用于第二阶段协商。

单击文本框右侧的图标，可添加多个需要和VPC侧互通的本地数据中心侧的网段。

如果您配置了多个网段，则后续IKE协议的版本需要选择为ikev2。

立即生效

选择IPsec连接的配置是否立即生效。

是（默认值）：配置完成后系统立即进行IPsec协议协商。

否：当有流量进入时系统才进行IPsec协议协商。

用户网关

选择IPsec连接待关联的用户网关。

预共享密钥

输入IPsec连接的认证密钥，用于VPN网关实例与本地数据中心之间的身份认证。

密钥长度为1~100个字符，支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',./?。

若您未指定预共享密钥，系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后，您可以通过编辑按钮查看系统生成的预共享密钥。具体操作，请参见修改IPsec连接。

IPsec连接两侧配置的预共享密钥需一致，否则系统无法正常建立IPsec连接。

启用BGP

如果IPsec连接需要使用BGP路由协议，需要打开BGP功能的开关，系统默认关闭BGP功能。

使用BGP动态路由功能前，建议您先了解BGP动态路由功能工作机制和使用限制。更多信息，请参见配置BGP动态路由。

本端自治系统号

输入IPsec连接阿里云侧的自治系统号。默认值：45104。自治系统号取值范围：1~4294967295。

支持按照两段位的格式进行输入，即：前16位比特.后16位比特。每个段位使用十进制输入。

例如输入123.456，则表示自治系统号：123*65536+456=8061384。

建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。

配置

说明

加密配置：IKE配置

版本

选择IKE协议的版本。

ikev1

ikev2（默认值）

相对于IKEv1版本，IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持，推荐选择IKEv2版本。

协商模式

选择协商模式。

main（默认值）：主模式，协商过程安全性高。

aggressive：野蛮模式，协商快速且协商成功率高。

协商成功后两种模式的信息传输安全性相同。

加密算法

选择第一阶段协商使用的加密算法。

加密算法支持aes（aes128，默认值）、aes192、aes256、des和3des。

如果VPN网关实例的带宽规格为200 Mbps及以上，推荐使用aes、aes192、aes256加密算法，不推荐使用3des加密算法。

aes是一种对称密钥加密算法，提供高强度的加密和解密，在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。

3des是三重数据加密算法，加密时间较长且算法复杂度较高，运算量较大，相比aes会降低转发性能。

认证算法

选择第一阶段协商使用的认证算法。

认证算法支持sha1（默认值）、md5、sha256、sha384和sha512。

DH分组

选择第一阶段协商的Diffie-Hellman密钥交换算法。

group1：表示DH分组中的DH1。

group2（默认值）：表示DH分组中的DH2。

group5：表示DH分组中的DH5。

group14：表示DH分组中的DH14。

SA生存周期（秒）

设置第一阶段协商出的SA的生存周期。单位：秒。默认值：86400。取值范围：0~86400。

LocalId

输入IPsec连接阿里云侧的标识。默认值为VPN网关实例的IP地址。

该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云，无其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式。推荐使用私网IP地址作为IPsec连接阿里云侧的标识。

如果LocalId使用了FQDN格式，例如输入example.aliyun.com，则本地数据中心侧IPsec连接的对端ID需与LocalId的值保持一致，协商模式建议选择为aggressive（野蛮模式）。

RemoteId

输入IPsec连接本地数据中心侧的标识。默认值为用户网关的IP地址。

该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地数据中心，无其他作用。支持使用IP地址格式或FQDN（Fully Qualified Domain Name）格式。推荐使用私网IP地址作为IPsec连接本地数据中心侧的标识。

如果RemoteId使用了FQDN格式，例如输入example.aliyun.com，则本地数据中心侧IPsec连接的本端ID需与RemoteId的值保持一致，协商模式建议选择为aggressive（野蛮模式）。

加密配置：IPsec配置

加密算法

选择第二阶段协商的加密算法。

加密算法支持aes（aes128，默认值）、aes192、aes256、des和3des。

如果VPN网关实例的带宽规格为200 Mbps及以上，推荐使用aes、aes192、aes256加密算法，不推荐使用3des加密算法。

aes是一种对称密钥加密算法，提供高强度的加密和解密，在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小。

3des是三重数据加密算法，加密时间较长且算法复杂度较高，运算量较大，相比aes会降低转发性能。

认证算法

选择第二阶段协商的认证算法。

认证算法支持sha1（默认值）、md5、sha256、sha384和sha512。

DH分组

选择第二阶段协商的Diffie-Hellman密钥交换算法。

disabled：表示不使用DH密钥交换算法。

对于不支持PFS的客户端请选择disabled。

如果选择为非disabled的任何一个组，会默认开启完美向前加密PFS（Perfect Forward Secrecy）功能，使得每次重协商都要更新密钥，因此，相应的客户端也要开启PFS功能。

group1：表示DH分组中的DH1。

group2（默认值）：表示DH分组中的DH2。

group5：表示DH分组中的DH5。

group14：表示DH分组中的DH14。

SA生存周期（秒）

设置第二阶段协商出的SA的生存周期。单位：秒。默认值：86400。取值范围：0~86400。

DPD

选择开启或关闭对等体存活检测功能。DPD功能默认开启。

对于在2019年04月至2023年01月期间创建的VPN网关实例：

如果创建IPsec连接时使用IKEv1版本，DPD报文的超时时间为30秒。

如果创建IPsec连接时使用IKEv2版本，DPD报文的超时时间为3600秒。

对于在2023年02月之后创建的VPN网关实例：

如果创建IPsec连接时使用IKEv1版本，DPD报文的超时时间为30秒。

如果创建IPsec连接时使用IKEv2版本，DPD报文的超时时间为130秒。

NAT穿越

选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。

如果您为IPsec连接开启了BGP功能，您需要指定BGP隧道网段以及阿里云侧BGP隧道IP地址。

配置项

说明

隧道网段

输入IPsec隧道的网段。

该网段需要是在169.254.0.0/16内的子网掩码为30的网段，且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

本端BGP地址

输入IPsec连接阿里云侧的BGP IP地址。

该地址为隧道网段内的一个IP地址。

系统默认关闭健康检查功能，在添加健康检查配置前，请先打开健康检查功能。

为IPsec连接配置健康检查功能后，请在本地数据中心侧添加一条目标网段为源IP，子网掩码为32位，下一跳指向IPsec连接的路由条目，以确保IPsec连接健康检查功能正常工作。

配置项

说明

目标IP

输入VPC侧通过IPsec连接可以访问的本地数据中心的IP地址。

请确保目的IP地址支持ICMP应答。

源IP

输入本地数据中心通过IPsec连接可以访问的VPC侧的IP地址。

重试间隔

选择健康检查的重试间隔时间。单位：秒。默认值：3。

重试次数

选择健康检查的重试次数。默认值：3。

创建IPsec连接时支持为IPsec连接添加标签，您可以通过标签对IPsec连接进行标记和分类，便于资源的搜索和聚合。更多信息，请参见标签。

配置项

说明

标签键

为IPsec连接添加标签键，支持选择已有标签键或输入新的标签键。

标签值

为IPsec连接添加标签值，支持选择已有标签值或输入新的标签值。标签值可以为空。

在弹出的对话框中，单击确定。

IPsec连接创建完成后，您需要下载IPsec连接对端配置并添加在本地网关设备中。具体操作，请参见下载IPsec连接配置和配置本地网关设备。

创建IPsec连接后，您可以下载IPsec连接的配置，用于后续配置本地网关设备。

登录VPN网关管理控制台。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。

在IPsec连接页面，找到目标IPsec连接，在操作列单击生成对端配置。

在IPsec连接配置对话框复制配置并保存到您本地，以便用于配置本地网关设备。

如何配置本地网关设备，请参见配置本地网关设备。

不支持修改IPsec连接关联的VPN网关和用户网关，您可以修改IPsec连接的路由模式、预共享密钥、加密配置等信息。

登录VPN网关管理控制台。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。

在IPsec连接页面，找到目标IPsec连接，在操作列单击编辑。

在编辑IPsec连接页面，修改IPsec连接的名称、加密配置、互通网段等配置，然后单击确定。

关于参数的详细说明，请参见创建IPsec连接。

登录VPN网关管理控制台。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。

在IPsec连接页面，找到目标IPsec连接，在操作列单击删除。

在弹出的对话框中，确认信息，然后单击确定。

支持通过阿里云 SDK（推荐）、阿里云 CLI、Terraform、资源编排等工具调用API创建和管理IPsec连接。相关API说明，请参见：

CreateVpnConnection - 创建IPsec连接

DeleteVpnConnection - 删除指定的IPsec连接

ModifyVpnConnectionAttribute - 修改IPsec连接的配置信息

DescribeVpnConnection - 查询已创建的IPsec连接的详细信息

DescribeVpnConnections - 查询已创建的IPsec连接

DownloadVpnConnectionConfig - 获取IPsec连接的配置信息