创建IPsec VPN隧道(新版)

更新时间：2025-09-10

前提条件

● 已完成IPsec VPN网关的创建，具体操作请参见创建IPsec VPN网关。

操作步骤

登陆私有网络VPC控制台
在左侧导航栏中，点击IPsec VPN隧道，进入IPsec VPN隧道界面

点击创建IPsec VPN隧道
填写下列配置信息：

基本配置

配置项	说明
VPN网关	选择IPsec VPN网关
VPN隧道名称	填写该VPN隧道的名称
共享密钥	共享密钥是用于验证 IPsec 连接的 Unicode 字符串，本端和对端必须使用相同的预共享密钥
通信模式	选择通信模式，目的路由模式基于目的IP进行路由转发，通常在网段数量大于2时使用，该模式支持BGP。感兴趣流模式需要填写本端网段和对端网段，通常在网段数量较少时使用
本端VPN网关公网IP/带宽	(仅当所选择VPN网关类型为公网时展示) VPN网关用于公网加密通信的公网IP/带宽
本端私网	(仅当所选择VPN网关类型为私网时展示) VPN网关用于私网加密通信的IP地址
本端网络	(仅当通信模式为感兴趣流模式时需要配置) 需要通过VPN隧道与本地网络通信的百度云VPC子网网段
用户网关	支持选择现有用户网关或者在本页面新建用户网关
对端网络	(仅当VPN网关BGP功能禁用时需要配置) 需要通过VPN隧道与百度智能云VPC通信的本地网络网段
本端BGP ASN	(仅当VPN网关BGP功能启用时需要配置) 配置云上BGP ASN号，ASN输入有效范围：1 - 4294967295,且不能与对端网关BGP ASN冲突
本端互联地址	(仅当VPN网关BGP功能启用时需要配置) 填写云上BGP互联地址，该地址用于建立BGP邻居和保持BGP控制层面通信
对端互联地址	(仅当VPN网关BGP功能启用时需要配置) 填写本地BGP互联地址，该地址用于建立BGP邻居和保持BGP控制层面通信
描述	该VPN隧道的描述信息

说明：

同一个VPN网关中只能有一种通信模式。即：如果某一个VPN网关配置的第一个隧道使用的通信模式为“目的路由模式”，则后续该网关中新建隧道只能选择“目的路由模式”；如第一个隧道使用的通信模式为“感兴趣流模式”，则后续该网关中新建隧道只能选择“感兴趣流模式”。

当VPN网关启用BGP时，通信模式只能选择目的路由模式。

当VPN网关启用BGP时，所选用户网关必须配置自治系统号。

高级配置

IKE配置

配置项	说明
版本	选择IKE协议的版本。目前支持IKE V1和IKE V2,建议在设备支持且有多网段和安全性要求较高的情况下，推荐用IKE V2
协商模式	选择IKE V1版本的协商模式 - 主模式（main）：协商过程安全性高 - 野蛮模式（aggressive）：协商快速且协商成功率高协商成功后两种模式的信息传输安全性相同
加密算法	选择第一阶段协商使用的加密算法。支持aes、aes192、aes256和3des，其中3des安全性较低，不推荐使用
认证算法	第一阶段协商使用的认证算法。支持sha1（安全性较低，不推荐使用）、md5（安全性较低，不推荐使用）、sha2_256、sha2_384和sha2_512
本端标识	支持 IP address 和 FQDN（全称域名），“本端标识”与隧道对端配置的“远端标识”需一致
远端标识	支持 IP address 和 FQDN（全称域名），“远端标识”与隧道对端配置的“本端标识”需一致
DH分组	支持的算法：Group2、Group5、Group14、Group24（推荐使用）、disabled（表示不使用DH密钥交换算法），选择第一阶段协商的Diffie-Hellman密钥交换算法
SA生存周期（秒）	设置第一阶段协商出的SA的生存周期。默认值为28800秒

IPsec配置

配置项	说明
加密算法	选择第二阶段协商的加密算法。支持aes、aes192、aes256和3des，其中3des安全性较低，不推荐使用
认证算法	选择第二阶段协商的认证算法。支持sha1（安全性较低，不推荐使用）、md5（安全性较低，不推荐使用）、sha2_256、sha2_384和sha2_512
DH分组	支持的算法：Group2、Group5、Group14、Group24（推荐使用）、disabled（表示不使用DH密钥交换算法），选择第二阶段协商的Diffie-Hellman密钥交换算法
SA生存周期（秒）	设置第二阶段协商出的SA的生存周期。默认值为28800秒

创建用户网关

配置云上路由(新版)

百度智能云

私有网络 VPC

私有网络 VPC

创建IPsec VPN隧道(新版)

前提条件

操作步骤

基本配置

高级配置

IKE配置

IPsec配置