IPsec-VPN構建分支上云網絡
設計概述
介紹
對云用戶而言,在上云、用云、管云過程中持續維持良好的云上架構變得極具挑戰,而通過產品和技術構建阿里云和企業分支上云網絡往往是企業上云的第一步。
本文檔主要目的在IPsec-VPN構建分支上云網絡場景,給用戶分享阿里云上的架構設計最佳實踐總結為一系列的方法論和設計原則,圍繞穩定、安全、性能、彈性、可觀測 、自服務等方面,形成阿里云卓越架構框架,以幫助云用戶可以通過IPsec-VPN構建分支上云網絡。
基本概念
VPN 網關:VPN網關(VPN Gateway)是一款提供網絡連接服務的產品,通過建立加密隧道的方式實現企業本地數據中心、企業辦公網絡、互聯網客戶端與阿里云之間安全可靠的網絡連接。
IPsec-VPN:主要用于企業分支機構的上云場景。IPsec VPN是一種傳統的VPN類型,在網絡層提供安全的IP通信。通過使用IPsec協議,它能夠對每個數據包進行加密和身份驗證,從而確保數據傳輸的安全性和完整性。IPsec-VPN通常用于站點對站點或遠程訪問VPN,需要在用戶的設備或網絡網關上進行配置。
SSL-VPN:主要用于企業用戶移動客戶端的上云場景。SSL VPN則通過安全套接層(SSL)或較新的傳輸層安全性(TLS)協議在會話層提供安全的連接,與IPsec-VPN不同,SSL-VPN不需要客戶端軟件,用戶可以通過任何標準的Web瀏覽器安全地訪問網絡資源,因為SSL是大多數現代Web瀏覽器所支持的。SSL-VPN更靈活,易于實施,尤其適合提供遠程用戶對特定應用或服務的安全訪問。目前阿里云支持Windows、Linux、Mac、Android等多操作系統客戶端。
云企業網:云企業網CEN(Cloud Enterprise Network)是運行在阿里云私有全球網絡上的一張高可用網絡。云企業網通過轉發路由器TR(Transit Router)幫助您在跨地域專有網絡之間,專有網絡與本地數據中心間搭建私網通信通道,為您打造一張靈活、可靠、大規模的企業級云上網絡。
在用戶創建IPsec-VPN的過程中,依據IPsec連接綁定的資源不同,實現網絡連接的方式也不相同,如下圖所示:
綁定VPN網關實例:VPN網關實例是直接連接到用戶的云上VPC,可以通過連接的VPC與其他網絡互通
綁定轉發路由器TR實例:IPsec連接綁定TR是直接連接到轉發路由器TR,可以通過連接的TR與其他網絡互通
綁定VPN網關實例和綁定TR實例功能對比
對比項 | 綁定VPN網關實例 | 綁定轉發路由器實例 |
關聯的資源 | 在創建IPsec-VPN時,您需購買VPN網關實例,VPN網關實例需關聯至一個VPC上。 IDC或分支可與關聯的VPC直接互通,也可以通過關聯的VPC與其他網絡互通。 | 在創建IPsec-VPN時,無需購買VPN網關實例,也無需關聯VPC,需要搭配使用云企業網CEN產品,在云企業網下創建TR實例。 IDC或分支可通過TR實例與任意VPC互通,也可以與轉發路由器實例下的其他網絡直接互通。 |
【彈性】計費方式 | 包年包月 即按月購買資源,先付費,后使用。 比較適合預算制的客戶 | 按量付費 按照資源用量結算費用,先使用,后付費。 比較適合用量波動明顯的客戶 |
【安全】支持的加密算法 |
|
|
【穩定】IPsec-VPN連接支持的隧道模式 |
|
可以通過多個IPsec連接提供高可用性 |
【彈性】單個IPsec連接支持的帶寬規格 | 最大支持為1000 Mbps | 默認限制為1000 Mbps 可以通過多個IPsec連接提供更大帶寬 比較適合需要大帶寬的客戶 |
【性能】單個IPsec連接每秒最多支持傳輸的數據包數量 | 12萬 pps | 12萬 pps |
支持的網絡類型 |
表示通過互聯網建立加密隧道。
表示基于物理專線的私網連接建立加密隧道。 |
表示通過互聯網建立加密隧道。
表示基于物理專線的私網連接建立加密隧道。 |
支持的接入方式 |
|
|
【穩定】實現高可用鏈路的方式 | 通過主備鏈路的方式實現鏈路的高可用。 | 通過ECMP方式實現鏈路的高可用。 |
設計原則
VPN網關是企業通過IPsec-VPN構建分支上云網絡的關鍵產品,通過建立加密隧道的方式實現企業IDC、企業分支等與阿里云VPC之間安全可靠的私網連接。IPsec-VPN是一種基于路由的網絡連接技術,提供靈活的流量路由方式,方便用戶配置和維護VPN策略,適用于在IDC、分支、客戶端等與VPC之間建立網絡連接。
穩定:IPsec-VPN承擔企業IDC和阿里云之間的橋梁,其穩定持續服務能力,直接關系到企業混合云組網的穩定,因此需要全面考慮端到端穩定性設計。
安全:IPsec-VPN承擔企業IDC和阿里云之間的橋梁,必須要幫助企業確保鏈路的加密和安全,此外特定行業還有需要支持國密算法等特殊加密要求,因此在設計IPsec-VPN構建上云分支網絡時,要充分考慮到安全加密方面的建設。
彈性:IPsec-VPN承擔企業IDC和阿里云之間的互通通道,很多企業會面臨帶寬利用率的不足和流量閑置,即需要確保在流量峰值時能夠有充足的資源提供可靠服務,也需要在流量低峰時能夠按量付費,做到資源成本的優化。同時如果需要媲美專線的大帶寬的上云能力,也具備彈性能力提供更大帶寬能力
設計關鍵點
穩定
設備級別高可用:IPsec-VPN底層采用雙機熱備架構,故障時秒級切換,保證會話不中斷,業務不受影響。
鏈路級別高可用:目前所有VPN網關默認支持雙隧道模式,鏈路故障時支持秒級切換。IPsec連接綁定TR可以使用多個連接提供ECMP高可用鏈路。
單隧道的IPsec-VPN連接支持升級為雙隧道模式 。雙隧道模式的IPsec-VPN連接擁有主備兩條隧道,在主隧道故障后,流量可以通過備隧道進行傳輸,提高了IPsec-VPN連接的高可用性。VPN網關升級期間無法提供服務,已有連接也會中斷。建議您在網絡維護窗口期間進行升級,以免影響業務運行。
用戶級別高可用:用戶本地網關設備可以通過多個設備提供高可用,故障時可以提供用戶側的設備高可用性切換
VPN配合上云專線實現高可用:除了IPsec-VPN產品本身的穩定性和高可用性方面的設計,IPsec-VPN還可以搭配上云專提供更佳穩定性的架構設計。在路由配置上,本地IDC網關設備與VPN網關之間可以配置靜態路由或BGP動態路由協議互聯,但本地IDC網關設備與邊界路由器VBR之間必須要通過BGP動態路由協議互聯。
安全合規
使用網絡密鑰交換IKE和IP層協議安全結構IPsec協議對傳輸數據進行加密,保證數據安全可信。
IKE版本的選擇:
如果使用的VPN類型為國密型,則IKE版本僅支持IKEv1;如果使用的VPN類型為標準型,則IKE版本支持IKEv1和IKEv2
相對于IKEv1版本,IKEv2版本簡化了SA的協商過程并且對于多網段的場景提供了更好的支持,推薦選擇IKEv2版本(默認值)
加密算法:
如果使用的是普通型VPN網關,則加密算法支持aes(aes128,默認值)、aes192、aes256、des和3des。
如果使用的是國密型VPN網關,則加密算法支持sm4(默認值)。
說明如果VPN網關實例的帶寬規格為200 Mbps及以上,推薦使用aes、aes192、aes256加密算法,不推薦使用3des加密算法。aes是一種對稱密鑰加密算法,提供高強度的加密和解密,在保證數據安全傳輸的同時對網絡延遲、吞吐量、轉發性能影響較小;3des是三重數據加密算法,加密時間較長且算法復雜度較高,運算量較大,相比aes會降低轉發性能。
認證算法:
如果使用的是普通型VPN網關,則認證算法支持sha1(默認值)、md5、sha256、sha384和sha512。
如果使用的是國密型VPN網關,則認證算法支持sm3(默認值)。
合規性:阿里云VPN網關在中國相關政策法規內提供服務,僅支持建立非跨境連接,不支持建立跨境連接。涉及到跨境場景,建議結合云企業網CEN跨境專線搭配使用。
高效性能
提供大帶寬能力:單個IPsec連接最大支持的帶寬規格為1000 Mbps,如果需要擴大IPsec-VPN連接的帶寬,可以通過部署多個IPsec連接TR來實現,IDC和VPN網關之間通過多個IPsec-VPN連接傳輸流量。
提供高pps能力:在高pps場景下,單個IPsec連接每秒最多支持傳輸的數據包數量12萬pps(256字節)
單隧道模式的IPsec-VPN連接,每個轉發路由器TR支持ECMP(Equal-Cost Multipath Routing)的VPN連接數量是16個。
彈性
功能開通即用,配置實時生效,實現快速部署,并且IPsec連接綁定TR使用,還支持多根IPsec-VPN來提供良好的彈性帶寬擴容能力。
單隧道模式的IPsec-VPN連接,每個轉發路由器TR支持ECMP(Equal-Cost Multipath Routing)的VPN連接數量是16個。
可觀測
結合阿里云云監控服務和NIS產品,用戶可以查看VPN網關實例和IPsec連接的監控信息,并可以為VPN網關實例創建閾值報警規則,監控VPN網關實例的流量傳輸情況,以便在流量傳輸異常時及時收到報警通知
自服務
診斷與排查
VPN網關提供多種診斷工具和相關文檔幫助用戶排查VPN網關相關問題
VPN網關支持查看IPsec-VPN連接和SSL-VPN連接日志、支持查看IPsec-VPN連接錯誤碼,VPN網關接入網絡智能服務NIS后支持VPN網關實例診斷、路徑分析功能,這些功能均可以幫助您排查VPN網關相關問題。
診斷工具及文檔說明:
診斷工具或文檔 | 說明 |
用戶可以使用該功能排查使用VPN網關過程中遇到的問題,例如IPsec-VPN連接協商問題、VPN網關路由配置問題、VPN網關實例狀態問題等,系統會根據診斷出的異常項提供修復建議。 | |
用戶可以使用該功能診斷通過VPN網關建立網絡連接的資源之間的網絡連通性問題,適用于流量轉發異常類問題診斷。 | |
該文檔匯總了IPsec-VPN連接常見錯誤及排查方法,您可以通過VPN網關管理控制臺提示的錯誤碼和IPsec連接的日志信息,對照文檔中的匯總表自主排查問題。 | |
該文檔匯總了常見的IPsec-VPN連接協商問題和連通性問題及解決方案供您查閱。 | |
使用IPsec-VPN的過程中,如果遇到問題,您可以通過該文檔自助排查問題。 |
設計最佳實踐
通過VPN網關連接到DMZ VPC方式(主備隧道)
場景描述:當有企業分支、企業員工客戶端想私網訪問云上資源或者相互之間要互通時,可以使用VPN網關方式接入,并且多個業務VPC可以通過DMZ VPC的VPN網關實現加密鏈路上云
DMZ VPC設計要點:DMZ VPC內創建VPN網關,用VPN網關連接分支;DMZ VPC連接到TR后可以和本地域和其他地域的VPC、VBR、VPN互通
VPN網關設計要點
網關類型:根據需要選擇普通型還是國密型,創建網關實例后無法修改,慎重選擇
隧道模式:建議選擇雙隧道(主備隧道、雙可用區雙交換機),可以實現雙公網IP和雙可用區容災
接入服務:
如果接入分支(網絡),則需開啟IPsecVPN功能、并配置IPsec隧道
如果接入非IOS客戶端,則需開啟SSLVPN功能、并配置SSL-VPN服務端
如果接入iOS客戶端,則需開啟SSLVPN功能、并配置IPsec服務端
通過IPsec隧道連接到TR方式(多ECMP鏈路)
場景描述:當有企業分支想私網訪問云上資源或者相互之間要互通時,可以使用IPsec隧道連接TR方式接入。TR支持同時綁定多個IPsec連接。IDC可以通過多條IPsec-VPN鏈路與VPC互通,多個IPsec-VPN鏈路之間可以實現流量的負載分擔,從而提供大帶寬的私網上云連接能力
多IPsec形成ECMP鏈路設計要點:
阿里云:配置多個IPsec連接并連接到TR,TR路由表出接口到多個IPsec連接形成ECMP,既能做IPsec多可用區容災、又能擴容IPsec隧道容量(單隧道1Gbps*隧道數量)
分支側:建議用多臺設備各建一個隧道,分支網絡選擇多個設備作為路由下一跳形成ECMP,既能做多設備(多隧道)容災、又能擴容IPsec隧道容量(單隧道1Gbps*隧道數量)。
說明也可用1臺設備建立多隧道,但此時這臺網關設備可能存在單點故障風險。
通過私網VPN網關實現物理專線加密通信
場景描述:考慮到專線流量本身沒有加密機制,在IDC已通過物理專線與VPC建立私網連接的基礎上,可以通過IPsec-VPN和VPN網關實現物理專線私網流量加密通信,提高私網互通的安全性。
私網流量加密通信:在本地數據中心IDC通過物理專線和云企業網與云上專有網絡VPC實現私網通信后,私網VPN網關可通過已建立的私網連接與本地網關設備建立加密通信通道。可以通過相關路由配置引導本地IDC和VPC要互通的流量進入加密通信通道,實現私網流量加密通信。
路由配置設計要點:根據VBR實例和VPN網關運行的協議不同,可支持三種路由配置方式:VBR實例和VPN網關均配置靜態路由、VBR實例配置靜態路由VPN網關運行BGP動態路由協議、VBR實例和VPN網關均運行BGP動態路由協議。
應用場景介紹
遠程工作訪問:VPN允許員工從家中或在旅途中通過加密的連接安全地訪問企業內部網絡。使用VPN時,員工可以像在辦公室一樣訪問文件和應用程序。這保證了數據傳輸的私密性和安全性,防止了敏感信息的泄露。對于跨國公司來說,VPN是維護日常運營的重要工具。例如,國際咨詢公司的顧問經常在外地,使用VPN可以隨時獲取公司內部資源。
安全數據傳輸:對于需要傳輸敏感數據的企業來說,VPN提供了一個安全的通道。使用強加密協議,企業能確保數據在公網中傳輸的過程中不會被截獲。這對金融機構或法律咨詢公司尤其重要。例如,律師事務所與客戶之間通過VPN傳輸保密文件,確保了客戶隱私和案件敏感信息的安全。
上云鏈路的容災備份:用戶在混合云的上云鏈路可以組合使用IPsec-VPN和物理專線,實現本地數據中心IDC和云上業務通過物理專線和IPsec-VPN進行主備鏈路上云。