创建 IKE 策略

您可以使用定制因特网密钥交换 (IKE) 策略来定义要在 IKE 协商的阶段 1 期间使用的安全参数。在此阶段中，VPN 和对等设备交换凭证和安全策略，以相互认证并建立用于阶段 2 协商的安全通信通道。

在控制台中创建 IKE 策略

要使用 UI 创建 IKE 策略，请执行以下步骤:

从 VPC 的 VPN 列表页面中，选择 站点到站点网关> IKE 策略 选项卡。
单击创建 + 并指定以下信息：
- 名称- 输入 IKE 策略的名称。
- 资源组-选择此 IKE 策略的资源组。
- 区域-选择此 IKE 策略的区域。
- IKE 版本-IKE 协议版本。某些供应商不支持这两个 IKE 版本。请查看同级供应商文档以验证 IKE 版本支持。
- Authentication-用于 IKE 阶段 1 的认证算法。
- 加密-用于 IKE 阶段 1 的加密算法。
- Diffie-Hellman 组-要用于 IKE 阶段的 DH 组 1。
- 密钥生存期-阶段 1 隧道的生存期 (以秒为单位)。
单击创建 IKE 策略。
从“VPN 连接详细信息”页面，设置 IKE 策略 字段以使用所需的 IKE 策略。

从 CLI 创建 IKE 策略

要使用 CLI 创建 IKE 策略，请输入以下命令:

ibmcloud is ike-policy-create IKE_POLICY_NAME AUTHENTICATION_ALGORITHM DH_GROUP ENCRYPTION_ALGORITHM IKE_VERSION
    [--key-lifetime KEY_LIFETIME]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

其中：

md-5 和身份验证算法、和 DH 组以及加密算法已于 2022 年 9 月 20 日废弃，控制台不再支持这些算法。sha-1 2 5 triple_des

IKE_POLICY_NAME- IKE 策略的名称。
AUTHENTICATION_ALGORITHM- 验证算法。 sha256，sha384 和 sha512 之一。
DH_GROUP- Diffie-Hellman 组。下列其中一项: 14，15，16，17，18，19，20，21，22，23，24 和 31。
ENCRYPTION_ALGORITHM- 加密算法。 aes128，aes192 和 aes256 之一。
IKE_VERSION- IKE 协议版本。其中一个: 1，2。
-- key-lifetime value-密钥生存期 (以秒为单位)。最大：86400，最小值：1800. 默认值为 28800。
-- resource-group-id value- 资源组的 ID。该选项与 --resource-group-name 互斥。
-- resource-group-name value- 资源组名称。该选项与 --resource-group-id 互斥。
-- output value-以 JSON 格式指定输出。
- q, --quiet- 禁止详细输出。

命令示例

使用 SHA 256 认证，DH 组 14，AES 128 加密和 IKE 版本 2 创建 IKE 策略:
- ibmcloud is ike-policy-create my-ike-policy sha256 14 aes128 2
创建具有相同参数和 3600 秒生存期的 IKE 策略:
- ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --key-lifetime 3600
创建具有相同参数和资源组标识的 IKE 策略:
- ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

使用 API 创建 IKE 策略

要使用 API 创建 IKE 策略，请执行以下步骤:

使用正确的变量设置 API 环境。
存储要在 API 命令中使用的任何其他变量，例如:

ResourceGroupId-使用 get resource groups 命令查找资源组标识，然后填充变量:
```
export ResourceGroupId=<your_resourcegroup_id>
```

启动所有变量时，创建 IKE 策略:

   curl -X POST "$vpc_api_endpoint/v1/ike_policies?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "name": "my-new-ike-policy",
        "dh_group": 14,
        "authentication_algorithm": "sha256",
        "encryption_algorithm": "aes128",
        "ike_version": 2,
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'

使用 Terraform 创建 IKE 策略

在下面的示例中，您可以使用Terraform创建IKE策略：

   resource "ibm_is_ike_policy" "is_ike_policy" {
     name                     = "my-ike-policy"
     authentication_algorithm = "sha256"
     encryption_algorithm     = "aes128"
     dh_group                 = 14
     ike_version              = 2
   }

请参阅 Terraform 注册表以获取更多信息。

后续步骤

创建 IPsec 策略 (如果您决定使用定制 IPsec 策略而不是自动协商)。
如果在创建 VPN 网关时尚未创建 VPN 连接，请创建 VPN 连接。如果未创建 VPN 连接，那么可以在供应 VPN 网关后执行此操作。有关更多信息，请参阅向 VPN 网关添加连接。
对于基于路由的 VPN，请选择或创建路由表。然后，使用 VPN 连接类型创建路由。