IBM Cloud Docs
创建 IKE 策略

创建 IKE 策略

您可以使用定制因特网密钥交换 (IKE) 策略来定义要在 IKE 协商的阶段 1 期间使用的安全参数。 在此阶段中,VPN 和对等设备交换凭证和安全策略,以相互认证并建立用于阶段 2 协商的安全通信通道。

在控制台中创建 IKE 策略

要使用 UI 创建 IKE 策略,请执行以下步骤:

  1. 从 VPC 的 VPN 列表页面中,选择 站点到站点网关> IKE 策略 选项卡。
  2. 单击创建 + 并指定以下信息:
    • 名称- 输入 IKE 策略的名称。
    • 资源组-选择此 IKE 策略的资源组。
    • 区域-选择此 IKE 策略的区域。
    • IKE 版本-IKE 协议版本。 某些供应商不支持这两个 IKE 版本。 请查看同级供应商文档以验证 IKE 版本支持。
    • Authentication-用于 IKE 阶段 1 的认证算法。
    • 加密-用于 IKE 阶段 1 的加密算法。
    • Diffie-Hellman 组-要用于 IKE 阶段的 DH 组 1。
    • 密钥生存期-阶段 1 隧道的生存期 (以秒为单位)。
  3. 单击创建 IKE 策略
  4. 从“VPN 连接详细信息”页面,设置 IKE 策略 字段以使用所需的 IKE 策略。

从 CLI 创建 IKE 策略

开始之前,请 设置 CLI 环境

要使用 CLI 创建 IKE 策略,请输入以下命令:

ibmcloud is ike-policy-create IKE_POLICY_NAME AUTHENTICATION_ALGORITHM DH_GROUP ENCRYPTION_ALGORITHM IKE_VERSION
    [--key-lifetime KEY_LIFETIME]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

其中:

md-5 和 身份验证算法、和 DH 组以及 加密算法已于 2022 年 9 月 20 日废弃,控制台不再支持这些算法。sha-1 2 5 triple_des

  • IKE_POLICY_NAME- IKE 策略的名称。
  • AUTHENTICATION_ALGORITHM- 验证算法。 sha256sha384sha512 之一。
  • DH_GROUP- Diffie-Hellman 组。 下列其中一项: 141516171819202122232431
  • ENCRYPTION_ALGORITHM- 加密算法。 aes128aes192aes256 之一。
  • IKE_VERSION- IKE 协议版本。 其中一个: 12
  • -- key-lifetime value-密钥生存期 (以秒为单位)。 最大:86400,最小值:1800. 默认值为 28800
  • -- resource-group-id value- 资源组的 ID。 该选项与 --resource-group-name 互斥。
  • -- resource-group-name value- 资源组名称。 该选项与 --resource-group-id 互斥。
  • -- output value-以 JSON 格式指定输出。
    • q, --quiet- 禁止详细输出。

命令示例

  • 使用 SHA 256 认证,DH 组 14,AES 128 加密和 IKE 版本 2 创建 IKE 策略:
    • ibmcloud is ike-policy-create my-ike-policy sha256 14 aes128 2
  • 创建具有相同参数和 3600 秒生存期的 IKE 策略:
    • ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --key-lifetime 3600
  • 创建具有相同参数和资源组标识的 IKE 策略:
    • ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

使用 API 创建 IKE 策略

要使用 API 创建 IKE 策略,请执行以下步骤:

  1. 使用正确的变量设置 API 环境

  2. 存储要在 API 命令中使用的任何其他变量,例如:

    ResourceGroupId-使用 get resource groups 命令查找资源组标识,然后填充变量:

    export ResourceGroupId=<your_resourcegroup_id>
    
  3. 启动所有变量时,创建 IKE 策略:

       curl -X POST "$vpc_api_endpoint/v1/ike_policies?version=$api_version&generation=2" \
         -H "Authorization: $iam_token" \
         -d '{
            "name": "my-new-ike-policy",
            "dh_group": 14,
            "authentication_algorithm": "sha256",
            "encryption_algorithm": "aes128",
            "ike_version": 2,
            "resource_group": {
              "id": "'$ResourceGroupId'"
            }
          }'
    

使用 Terraform 创建 IKE 策略

在下面的示例中,您可以使用Terraform创建IKE策略:

   resource "ibm_is_ike_policy" "is_ike_policy" {
     name                     = "my-ike-policy"
     authentication_algorithm = "sha256"
     encryption_algorithm     = "aes128"
     dh_group                 = 14
     ike_version              = 2
   }

请参阅 Terraform 注册表 以获取更多信息。

后续步骤