创建 IKE 策略
您可以使用定制因特网密钥交换 (IKE) 策略来定义要在 IKE 协商的阶段 1 期间使用的安全参数。 在此阶段中,VPN 和对等设备交换凭证和安全策略,以相互认证并建立用于阶段 2 协商的安全通信通道。
在控制台中创建 IKE 策略
要使用 UI 创建 IKE 策略,请执行以下步骤:
- 从 VPC 的 VPN 列表页面中,选择 站点到站点网关> IKE 策略 选项卡。
- 单击创建 + 并指定以下信息:
- 名称- 输入 IKE 策略的名称。
- 资源组-选择此 IKE 策略的资源组。
- 区域-选择此 IKE 策略的区域。
- IKE 版本-IKE 协议版本。 某些供应商不支持这两个 IKE 版本。 请查看同级供应商文档以验证 IKE 版本支持。
- Authentication-用于 IKE 阶段 1 的认证算法。
- 加密-用于 IKE 阶段 1 的加密算法。
- Diffie-Hellman 组-要用于 IKE 阶段的 DH 组 1。
- 密钥生存期-阶段 1 隧道的生存期 (以秒为单位)。
- 单击创建 IKE 策略。
- 从“VPN 连接详细信息”页面,设置 IKE 策略 字段以使用所需的 IKE 策略。
从 CLI 创建 IKE 策略
开始之前,请 设置 CLI 环境。
要使用 CLI 创建 IKE 策略,请输入以下命令:
ibmcloud is ike-policy-create IKE_POLICY_NAME AUTHENTICATION_ALGORITHM DH_GROUP ENCRYPTION_ALGORITHM IKE_VERSION
[--key-lifetime KEY_LIFETIME]
[--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
[--output JSON] [-q, --quiet]
其中:
md-5
和 身份验证算法、和 DH 组以及 加密算法已于 2022 年 9 月 20 日废弃,控制台不再支持这些算法。sha-1
2
5
triple_des
- IKE_POLICY_NAME- IKE 策略的名称。
- AUTHENTICATION_ALGORITHM- 验证算法。
sha256
,sha384
和sha512
之一。 - DH_GROUP- Diffie-Hellman 组。 下列其中一项:
14
,15
,16
,17
,18
,19
,20
,21
,22
,23
,24
和31
。 - ENCRYPTION_ALGORITHM- 加密算法。
aes128
,aes192
和aes256
之一。 - IKE_VERSION- IKE 协议版本。 其中一个:
1
,2
。 - -- key-lifetime value-密钥生存期 (以秒为单位)。 最大:
86400
,最小值:1800
. 默认值为28800
。 - -- resource-group-id value- 资源组的 ID。 该选项与 --resource-group-name 互斥。
- -- resource-group-name value- 资源组名称。 该选项与 --resource-group-id 互斥。
- -- output value-以 JSON 格式指定输出。
-
- q, --quiet- 禁止详细输出。
命令示例
- 使用 SHA 256 认证,DH 组 14,AES 128 加密和 IKE 版本 2 创建 IKE 策略:
ibmcloud is ike-policy-create my-ike-policy sha256 14 aes128 2
- 创建具有相同参数和 3600 秒生存期的 IKE 策略:
ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --key-lifetime 3600
- 创建具有相同参数和资源组标识的 IKE 策略:
ibmcloud is ipsec-policy-create my-ipsec-policy sha256 14 aes128 2 --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON
使用 API 创建 IKE 策略
要使用 API 创建 IKE 策略,请执行以下步骤:
-
使用正确的变量设置 API 环境。
-
存储要在 API 命令中使用的任何其他变量,例如:
ResourceGroupId
-使用 get resource groups 命令查找资源组标识,然后填充变量:export ResourceGroupId=<your_resourcegroup_id>
-
启动所有变量时,创建 IKE 策略:
curl -X POST "$vpc_api_endpoint/v1/ike_policies?version=$api_version&generation=2" \ -H "Authorization: $iam_token" \ -d '{ "name": "my-new-ike-policy", "dh_group": 14, "authentication_algorithm": "sha256", "encryption_algorithm": "aes128", "ike_version": 2, "resource_group": { "id": "'$ResourceGroupId'" } }'
使用 Terraform 创建 IKE 策略
在下面的示例中,您可以使用Terraform创建IKE策略:
resource "ibm_is_ike_policy" "is_ike_policy" {
name = "my-ike-policy"
authentication_algorithm = "sha256"
encryption_algorithm = "aes128"
dh_group = 14
ike_version = 2
}
请参阅 Terraform 注册表 以获取更多信息。
后续步骤
- 创建 IPsec 策略 (如果您决定使用定制 IPsec 策略而不是自动协商)。
- 如果在创建 VPN 网关时尚未创建 VPN 连接,请创建 VPN 连接。 如果未创建 VPN 连接,那么可以在供应 VPN 网关后执行此操作。 有关更多信息,请参阅 向 VPN 网关添加连接。
- 对于基于路由的 VPN,请选择或 创建路由表。 然后,使用 VPN 连接类型创建路由。