创建 IPsec 策略

您可以使用定制 IPsec 策略来定义要在 IKE 协商的阶段 2 期间使用的安全性参数。在此阶段中，VPN 和对等设备使用在阶段 1 期间建立的安全性关联来协商要发送的流量以及如何认证和加密该流量。

在控制台中创建 IPsec 策略

要使用 UI 创建 IPsec 策略，请执行以下步骤:

从 VPC 的 VPN 列表页面中，选择 站点到站点网关> IPsec 策略 选项卡。
单击创建 + 并指定以下信息：
- 名称- 输入 IPsec 策略的名称。
- 资源组-选择此 IPsec 策略的资源组。
- 区域-选择此 IPsec 策略的区域。
- Authentication-用于 IKE 阶段 2 的认证算法。
- 加密-用于 IKE 阶段 2 的加密算法。
- 完美前向保密- 启用 PFS。
- Diffie-Hellman 组 (如果已启用 PFS)-要用于 IKE 阶段 2 密钥交换的 DH 组。
- 密钥生存期-阶段 2 隧道的生存期 (以秒为单位)。
单击创建 IPsec 策略。
从“VPN 连接详细信息”页面，设置 IPsec 策略 字段以使用所需的 IPsec 策略。

从 CLI 创建 IPsec 策略

要从 CLI 创建 IPsec 策略，请输入以下命令:

ibmcloud is ipsec-policy-create IPSEC_POLICY_NAME AUTHENTICATION_ALGORITHM ENCRYPTION_ALGORITHM PFS
    [--key-lifetime KEY_LIFETIME]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

其中：

md-5 和身份验证算法、和 DH 组以及加密算法已于 2022 年 9 月 20 日废弃，控制台不再支持这些算法。sha-1 group_2 group_5 triple_des

IPSEC_POLICY_NAME- IPsec 策略名称。
AUTHENTICATION_ALGORITHM- 验证算法。 sha256，sha384，sha512 和 disabled 之一。
ENCRYPTION_ALGORITHM- 加密算法。下列其中一项: aes128，aes192，aes256，aes128gcm16，aes192gcm16 和 aes256gcm16。
PFS- Diffie-Hellman 小组。下列其中一项: disabled，group_14，group_15，group_16，group_17，group_18，group_19，group_20，group_21，group_22，group_23，group_24 和 group_31。
-- key-lifetime value-密钥生存期 (以秒为单位)。最大：86400，最小值：1800. 默认值为 3600。
-- resource-group-id value- 资源组的 ID。该选项与 --resource-group-name 互斥。
-- resource-group-name value- 资源组名称。该选项与 --resource-group-id 互斥。
-- output value-以 JSON 格式指定输出。
- q, --quiet- 禁止冗长输出。

AUTHENTICATION_ALGORITHM 必须是 disabled，当且仅当 ENCRYPTION_ALGORITHM 是 aes128gcm16, aes192gcm16，或 aes256gcm16。

命令示例

使用 SHA 256 认证，AES 128 加密和 PFS with DH Group 14 创建 IPsec 策略: ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14
创建具有相同参数和 3600 秒生存期的 IPsec 策略: ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14 --key-lifetime 3600
创建具有相同参数和资源组标识的 IPsec 策略: ibmcloud is ipsec-policy-create my-ipsec-policy sha256 aes128 group_14 --resource-group-id fee82deba12e4c0fb69c3b09d1f12345 --output JSON

使用 API 创建 IPsec 策略

要使用 API 创建 IPsec 策略，请执行以下步骤:

使用正确的变量设置 API 环境。
存储要在 API 命令中使用的任何其他变量，例如:

ResourceGroupId-使用 get resource groups 命令查找资源组标识，然后填充变量:
```
export ResourceGroupId=<your_resourcegroup_id>
```

启动所有变量时，创建 IPsec 策略:

   curl -X POST "$vpc_api_endpoint/v1/ipsec_policies?version=$api_version&generation=2" \
     -H "Authorization: $iam_token" \
     -d '{
        "name": "my-new-ipsec-policy",
        "authentication_algorithm": "sha256",
        "encryption_algorithm": "aes128",
        "pfs": "group_14",
        "resource_group": {
          "id": "'$ResourceGroupId'"
        }
      }'

使用 Terraform 创建 IPsec 策略

在以下示例中，可以使用 Terraform 创建 IPsec 策略:

   resource "ibm_is_ipsec_policy" "is_ipsec_policy" {
     name                     = "my-ipsec-policy"
     authentication_algorithm = "sha256"
     encryption_algorithm     = "aes128"
     pfs                      = "group_14"
   }

请参阅 Terraform 注册表以获取更多信息。

后续步骤

创建 IKE 策略 (如果您决定使用定制 IKE 策略而不是自动协商)。
如果在创建 VPN 网关时尚未创建 VPN 连接，请创建 VPN 连接。如果未创建 VPN 连接，那么可以在供应 VPN 网关后执行此操作。有关更多信息，请参阅向 VPN 网关添加连接。
对于基于路由的 VPN，请选择或创建路由表。然后，使用 VPN 连接类型创建路由。