IPsec-VPN是一種基于路由的網絡連接技術,提供靈活的流量路由方式,方便您配置和維護VPN策略,并使用網絡密鑰交換IKE(Internet Key Exchange)和IP層協議安全結構IPsec(Internet Protocol Security)協議對傳輸數據進行加密,用于在企業本地數據中心或企業辦公網絡與阿里云之間建立安全、可靠的網絡連接。
阿里云VPN網關產品在中國國家相關政策法規內提供服務,僅支持建立非跨境連接,不支持建立跨境連接。更多信息,請參見非跨境連接。
前置概念
閱讀本文前,您可能需要了解如下概念:
網絡連接場景
使用IPsec-VPN時,IPsec連接支持綁定VPN網關實例和轉發路由器實例兩種資源類型,綁定不同的資源類型可以實現不同的網絡連接場景。
綁定VPN網關
用于在企業本地數據中心或企業辦公網絡與專有網絡 VPC(Virtual Private Cloud)之間建立網絡連接,建立連接后,企業本地數據中心或企業辦公網絡可以直接訪問VPC內的資源。
綁定轉發路由器
用于在企業本地數據中心或企業辦公網絡與阿里云轉發路由器之間建立網絡連接,建立連接后,企業本地數據中心或企業辦公網絡可以與轉發路由器下的其他網絡互通,訪問其他網絡下的資源,例如其他本地數據中心,多個地域的VPC等。關于轉發路由器的更多信息,請參見什么是云企業網。
IPsec-VPN組成
綁定VPN網關
組成部分 | 說明 |
VPN網關實例 | 使用IPsec-VPN功能前,您需要先購買一個VPN網關實例,并為VPN網關實例開啟IPsec-VPN功能。VPN網關實例購買完成后,阿里云將會為您部署VPN資源。 |
用戶網關 | 用戶網關是在阿里云側創建的一個資源,用于將本地網關設備的信息(例如IP地址、BGP AS號)注冊到阿里云上。 |
IPsec連接 | 一個IPsec連接表示一條本地數據中心和VPC之間的加密通信通道,可以控制本地數據中心訪問哪些網絡。 一個IPsec連接將包含一條或兩條隧道,隧道用于加密傳輸數據。 |
本地網關設備 | 本地網關設備是指本地數據中心中的一臺物理設備(通常為網關設備)或應用程序。本地網關設備需支持VPN功能,以便和IPsec連接協商建立IPsec-VPN連接。 說明 為方便描述,后續文檔將企業本地數據中心、企業辦公網絡等需要和阿里云建立IPsec-VPN連接的網絡或站點統一以本地數據中心作為示例。 |
綁定轉發路由器
組成部分 | 說明 |
轉發路由器實例 | |
用戶網關 | 用戶網關是在阿里云側創建的一個資源,用于將本地網關設備的信息(例如IP地址、BGP AS號)注冊到阿里云上。 |
IPsec連接 | 一個IPsec連接表示一條本地數據中心和轉發路由器之間的加密通信通道,可以控制本地數據中心訪問哪些網絡。 一個IPsec連接將包含一條隧道,隧道用于加密傳輸數據。 |
本地網關設備 | 指本地數據中心中的一臺物理設備(通常為網關設備)或應用程序。本地網關設備需支持VPN功能,以便和IPsec連接協商建立IPsec-VPN連接。 說明 為方便描述,后續文檔將企業本地數據中心、企業辦公網絡等需要和阿里云建立IPsec-VPN連接的網絡或站點統一以本地數據中心作為示例。 |
隧道模式
當前IPsec-VPN存在以下兩種隧道模式,不同網絡連接場景支持的隧道模式不同。
雙隧道
指一個IPsec-VPN連接下存在兩條加密隧道,兩條隧道均支持傳輸流量,可以提高IPsec-VPN連接的高可用性。
重要在創建雙隧道模式的IPsec-VPN連接時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN連接鏈路冗余能力以及可用區級別的容災能力,同時VPN網關產品也不承諾SLA。
單隧道
指一個IPsec-VPN連接下只擁有一條加密隧道,云上和云下的流量僅通過這一條隧道進行傳輸。
綁定VPN網關(雙隧道模式)
綁定VPN網關場景下,IPsec-VPN連接已升級為雙隧道模式。一個IPsec-VPN連接下存在兩條加密隧道,互為主備鏈路,默認情況下流量僅通過主隧道進行傳輸,在主隧道故障后,流量可以通過備隧道進行傳輸。IPsec-VPN連接的兩條隧道部署在不同的可用區,可以實現可用區級別的容災。對于僅支持一個可用區的地域(例如華東5(南京-本地地域)地域),雙隧道模式的IPsec-VPN連接依舊支持主備鏈路,但不支持可用區級別的容災。更多信息,請參見綁定VPN網關場景雙隧道IPsec-VPN連接說明。
綁定VPN網關場景下,對于部分存量的VPN網關實例,依舊僅能創建單隧道模式的IPsec-VPN連接,單隧道模式下隧道故障會直接導致網絡中斷,強烈推薦您將IPsec-VPN連接升級為雙隧道模式,升級后主隧道故障可以通過備隧道傳輸流量,有效規避該問題。關于IPsec-VPN連接升級為雙隧道模式的更多信息,請參見升級IPsec-VPN連接為雙隧道模式。
綁定轉發路由器(雙隧道模式和單隧道模式)
綁定轉發路由器場景下,IPsec-VPN連接正在升級為雙隧道模式。部分地域已支持創建雙隧道模式的IPsec-VPN連接,一個IPsec-VPN連接下包含兩條隧道,兩條隧道自動形成ECMP(Equal-Cost Multipath Routing)鏈路,兩條隧道均傳輸流量,在一條隧道故障后,該隧道下的流量可以切換至另一條隧道進行傳輸。更多信息,請參見綁定轉發路由器場景雙隧道IPsec-VPN連接說明。
在支持多可用區的地域,IPsec-VPN連接的兩條隧道會自動分布在不同可用區,提供可用區級別的容災能力。
對于僅支持一個可用區的地域(例如華東5(南京-本地地域)地域),雙隧道模式IPsec-VPN連接的兩條隧道會被部署在同一個可用區,不支持可用區級別的容災,但依舊擁有鏈路冗余能力。
對于不支持雙隧道模式IPsec-VPN連接的地域,僅能創建單隧道模式的IPsec-VPN連接,單隧道模式下隧道故障會直接導致網絡中斷,您可以通過創建多個IPsec-VPN連接提高網絡的高可用性。
功能對比
下表展示綁定VPN網關場景和綁定轉發路由器場景的功能對比。
對比項 | 綁定VPN網關 | 綁定轉發路由器 |
網絡互通場景 | 本地數據中心僅能與VPN網關實例關聯的VPC互通。 | 本地數據中心可通過轉發路由器實例與任意VPC互通,也可以與轉發路由器實例下的其他網絡互通。 |
計費方式 | 包年包月 即按月購買資源,先付費,后使用。 | 按量付費 按照資源的實際用量結算費用,先使用,后付費。 |
支持的加密算法 |
| 國際標準商用密碼算法 |
IPsec-VPN連接支持的隧道模式 | 雙隧道模式 說明 部分存量的VPN網關實例下僅能創建單隧道模式的IPsec-VPN連接,推薦將單隧道模式的IPsec-VPN連接升級為雙隧道模式。更多信息,請參見升級IPsec-VPN連接為雙隧道模式。 |
|
單個IPsec連接支持的帶寬規格 | 最大支持為1000 Mbps。 說明 部分地域的VPN網關實例帶寬規格最大支持為500 Mbps。關于地域信息,請參見VPN網關實例使用限制。 |
支持通過其他方式擴大IPsec-VPN連接的帶寬。更多信息,請參見如何擴大IPsec-VPN連接的帶寬?。 |
每秒支持傳輸的數據包數量 | 一個VPN網關實例兩個方向每秒支持傳輸的數據包數量之和為12萬 pps(每個數據包為256字節) 說明 如果一個VPN網關實例下存在多個IPsec連接,則多個IPsec連接兩個方向每秒支持傳輸的數據包數量之和不能超過12萬 pps(每個數據包為256字節)。 |
|
實現高可用鏈路的方式 | 通過主備鏈路的方式實現鏈路的高可用。 | 通過ECMP(Equal-Cost Multipath Routing)方式實現鏈路的高可用。 |
典型應用場景 |
更多信息,請參見IPsec-VPN應用場景(綁定VPN網關)。 |
更多信息,請參見IPsec-VPN應用場景(綁定轉發路由器)。 |