什么是IPsec-VPN
IPsec-VPN是一種基于路由的網(wǎng)絡(luò)連接技術(shù),提供靈活的流量路由方式,方便您配置和維護(hù)VPN策略,并使用網(wǎng)絡(luò)密鑰交換IKE(Internet Key Exchange)和IP層協(xié)議安全結(jié)構(gòu)IPsec(Internet Protocol Security)協(xié)議對傳輸數(shù)據(jù)進(jìn)行加密,用于在企業(yè)本地?cái)?shù)據(jù)中心或企業(yè)辦公網(wǎng)絡(luò)與阿里云之間建立安全、可靠的網(wǎng)絡(luò)連接。
阿里云VPN網(wǎng)關(guān)產(chǎn)品在中國國家相關(guān)政策法規(guī)內(nèi)提供服務(wù),僅支持建立非跨境連接,不支持建立跨境連接。更多信息,請參見非跨境連接。
前置概念
閱讀本文前,您可能需要了解如下概念:
網(wǎng)絡(luò)連接場景
使用IPsec-VPN時(shí),IPsec連接支持綁定VPN網(wǎng)關(guān)實(shí)例和轉(zhuǎn)發(fā)路由器實(shí)例兩種資源類型,綁定不同的資源類型可以實(shí)現(xiàn)不同的網(wǎng)絡(luò)連接場景。
綁定VPN網(wǎng)關(guān)
用于在企業(yè)本地?cái)?shù)據(jù)中心或企業(yè)辦公網(wǎng)絡(luò)與專有網(wǎng)絡(luò) VPC(Virtual Private Cloud)之間建立網(wǎng)絡(luò)連接,建立連接后,企業(yè)本地?cái)?shù)據(jù)中心或企業(yè)辦公網(wǎng)絡(luò)可以直接訪問VPC內(nèi)的資源。
綁定轉(zhuǎn)發(fā)路由器
用于在企業(yè)本地?cái)?shù)據(jù)中心或企業(yè)辦公網(wǎng)絡(luò)與阿里云轉(zhuǎn)發(fā)路由器之間建立網(wǎng)絡(luò)連接,建立連接后,企業(yè)本地?cái)?shù)據(jù)中心或企業(yè)辦公網(wǎng)絡(luò)可以與轉(zhuǎn)發(fā)路由器下的其他網(wǎng)絡(luò)互通,訪問其他網(wǎng)絡(luò)下的資源,例如其他本地?cái)?shù)據(jù)中心,多個(gè)地域的VPC等。關(guān)于轉(zhuǎn)發(fā)路由器的更多信息,請參見什么是云企業(yè)網(wǎng)。
IPsec-VPN組成
綁定VPN網(wǎng)關(guān)
組成部分 | 說明 |
VPN網(wǎng)關(guān)實(shí)例 | 使用IPsec-VPN功能前,您需要先購買一個(gè)VPN網(wǎng)關(guān)實(shí)例,并為VPN網(wǎng)關(guān)實(shí)例開啟IPsec-VPN功能。VPN網(wǎng)關(guān)實(shí)例購買完成后,阿里云將會為您部署VPN資源。 |
用戶網(wǎng)關(guān) | 用戶網(wǎng)關(guān)是在阿里云側(cè)創(chuàng)建的一個(gè)資源,用于將本地網(wǎng)關(guān)設(shè)備的信息(例如IP地址、BGP AS號)注冊到阿里云上。 |
IPsec連接 | 一個(gè)IPsec連接表示一條本地?cái)?shù)據(jù)中心和VPC之間的加密通信通道,可以控制本地?cái)?shù)據(jù)中心訪問哪些網(wǎng)絡(luò)。 一個(gè)IPsec連接將包含一條或兩條隧道,隧道用于加密傳輸數(shù)據(jù)。 |
本地網(wǎng)關(guān)設(shè)備 | 本地網(wǎng)關(guān)設(shè)備是指本地?cái)?shù)據(jù)中心中的一臺物理設(shè)備(通常為網(wǎng)關(guān)設(shè)備)或應(yīng)用程序。本地網(wǎng)關(guān)設(shè)備需支持VPN功能,以便和IPsec連接協(xié)商建立IPsec-VPN連接。 說明 為方便描述,后續(xù)文檔將企業(yè)本地?cái)?shù)據(jù)中心、企業(yè)辦公網(wǎng)絡(luò)等需要和阿里云建立IPsec-VPN連接的網(wǎng)絡(luò)或站點(diǎn)統(tǒng)一以本地?cái)?shù)據(jù)中心作為示例。 |
綁定轉(zhuǎn)發(fā)路由器
組成部分 | 說明 |
轉(zhuǎn)發(fā)路由器實(shí)例 | 轉(zhuǎn)發(fā)路由器是阿里云云企業(yè)網(wǎng)產(chǎn)品下的一個(gè)組件,用于連接云上網(wǎng)絡(luò),實(shí)現(xiàn)云上同地域和跨地域的網(wǎng)絡(luò)互通。 |
用戶網(wǎng)關(guān) | 用戶網(wǎng)關(guān)是在阿里云側(cè)創(chuàng)建的一個(gè)資源,用于將本地網(wǎng)關(guān)設(shè)備的信息(例如IP地址、BGP AS號)注冊到阿里云上。 |
IPsec連接 | 一個(gè)IPsec連接表示一條本地?cái)?shù)據(jù)中心和轉(zhuǎn)發(fā)路由器之間的加密通信通道,可以控制本地?cái)?shù)據(jù)中心訪問哪些網(wǎng)絡(luò)。 一個(gè)IPsec連接將包含一條隧道,隧道用于加密傳輸數(shù)據(jù)。 |
本地網(wǎng)關(guān)設(shè)備 | 指本地?cái)?shù)據(jù)中心中的一臺物理設(shè)備(通常為網(wǎng)關(guān)設(shè)備)或應(yīng)用程序。本地網(wǎng)關(guān)設(shè)備需支持VPN功能,以便和IPsec連接協(xié)商建立IPsec-VPN連接。 說明 為方便描述,后續(xù)文檔將企業(yè)本地?cái)?shù)據(jù)中心、企業(yè)辦公網(wǎng)絡(luò)等需要和阿里云建立IPsec-VPN連接的網(wǎng)絡(luò)或站點(diǎn)統(tǒng)一以本地?cái)?shù)據(jù)中心作為示例。 |
隧道模式
當(dāng)前IPsec-VPN存在以下兩種隧道模式,不同網(wǎng)絡(luò)連接場景支持的隧道模式不同。
雙隧道
指一個(gè)IPsec-VPN連接下存在兩條加密隧道,兩條隧道均支持傳輸流量,可以提高IPsec-VPN連接的高可用性。
重要在創(chuàng)建雙隧道模式的IPsec-VPN連接時(shí),請配置兩條隧道使其均為可用狀態(tài),如果您僅配置或僅使用了其中一條隧道,則無法體驗(yàn)IPsec-VPN連接鏈路冗余能力以及可用區(qū)級別的容災(zāi)能力,同時(shí)VPN網(wǎng)關(guān)產(chǎn)品也不承諾SLA。
單隧道
指一個(gè)IPsec-VPN連接下只擁有一條加密隧道,云上和云下的流量僅通過這一條隧道進(jìn)行傳輸。
綁定VPN網(wǎng)關(guān)(雙隧道模式)
綁定VPN網(wǎng)關(guān)場景下,IPsec-VPN連接已升級為雙隧道模式。一個(gè)IPsec-VPN連接下存在兩條加密隧道,互為主備鏈路,默認(rèn)情況下流量僅通過主隧道進(jìn)行傳輸,在主隧道故障后,流量可以通過備隧道進(jìn)行傳輸。IPsec-VPN連接的兩條隧道部署在不同的可用區(qū),可以實(shí)現(xiàn)可用區(qū)級別的容災(zāi)。對于僅支持一個(gè)可用區(qū)的地域(例如華東5(南京-本地地域)地域),雙隧道模式的IPsec-VPN連接依舊支持主備鏈路,但不支持可用區(qū)級別的容災(zāi)。更多信息,請參見綁定VPN網(wǎng)關(guān)場景雙隧道IPsec-VPN連接說明。
綁定VPN網(wǎng)關(guān)場景下,對于部分存量的VPN網(wǎng)關(guān)實(shí)例,依舊僅能創(chuàng)建單隧道模式的IPsec-VPN連接,單隧道模式下隧道故障會直接導(dǎo)致網(wǎng)絡(luò)中斷,強(qiáng)烈推薦您將IPsec-VPN連接升級為雙隧道模式,升級后主隧道故障可以通過備隧道傳輸流量,有效規(guī)避該問題。關(guān)于IPsec-VPN連接升級為雙隧道模式的更多信息,請參見升級IPsec-VPN連接為雙隧道模式。
綁定轉(zhuǎn)發(fā)路由器(雙隧道模式和單隧道模式)
綁定轉(zhuǎn)發(fā)路由器場景下,IPsec-VPN連接正在升級為雙隧道模式。部分地域已支持創(chuàng)建雙隧道模式的IPsec-VPN連接,一個(gè)IPsec-VPN連接下包含兩條隧道,兩條隧道自動形成ECMP(Equal-Cost Multipath Routing)鏈路,兩條隧道均傳輸流量,在一條隧道故障后,該隧道下的流量可以切換至另一條隧道進(jìn)行傳輸。更多信息,請參見綁定轉(zhuǎn)發(fā)路由器場景雙隧道IPsec-VPN連接說明。
在支持多可用區(qū)的地域,IPsec-VPN連接的兩條隧道會自動分布在不同可用區(qū),提供可用區(qū)級別的容災(zāi)能力。
對于僅支持一個(gè)可用區(qū)的地域(例如華東5(南京-本地地域)地域),雙隧道模式IPsec-VPN連接的兩條隧道會被部署在同一個(gè)可用區(qū),不支持可用區(qū)級別的容災(zāi),但依舊擁有鏈路冗余能力。
對于不支持雙隧道模式IPsec-VPN連接的地域,僅能創(chuàng)建單隧道模式的IPsec-VPN連接,單隧道模式下隧道故障會直接導(dǎo)致網(wǎng)絡(luò)中斷,您可以通過創(chuàng)建多個(gè)IPsec-VPN連接提高網(wǎng)絡(luò)的高可用性。
功能對比
下表展示綁定VPN網(wǎng)關(guān)場景和綁定轉(zhuǎn)發(fā)路由器場景的功能對比。
對比項(xiàng) | 綁定VPN網(wǎng)關(guān) | 綁定轉(zhuǎn)發(fā)路由器 |
網(wǎng)絡(luò)互通場景 | 本地?cái)?shù)據(jù)中心僅能與VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的VPC互通。 | 本地?cái)?shù)據(jù)中心可通過轉(zhuǎn)發(fā)路由器實(shí)例與任意VPC互通,也可以與轉(zhuǎn)發(fā)路由器實(shí)例下的其他網(wǎng)絡(luò)互通。 |
計(jì)費(fèi)方式 | 包年包月 即按月購買資源,先付費(fèi),后使用。 | 按量付費(fèi) 按照資源的實(shí)際用量結(jié)算費(fèi)用,先使用,后付費(fèi)。 |
支持的加密算法 |
| 國際標(biāo)準(zhǔn)商用密碼算法 |
IPsec-VPN連接支持的隧道模式 | 雙隧道模式 說明 部分存量的VPN網(wǎng)關(guān)實(shí)例下僅能創(chuàng)建單隧道模式的IPsec-VPN連接,推薦將單隧道模式的IPsec-VPN連接升級為雙隧道模式。更多信息,請參見升級IPsec-VPN連接為雙隧道模式。 |
|
單個(gè)IPsec連接支持的帶寬規(guī)格 | 最大支持為1000 Mbps。 說明 部分地域的VPN網(wǎng)關(guān)實(shí)例帶寬規(guī)格最大支持為500 Mbps。關(guān)于地域信息,請參見VPN網(wǎng)關(guān)實(shí)例使用限制。 |
支持通過其他方式擴(kuò)大IPsec-VPN連接的帶寬。更多信息,請參見如何擴(kuò)大IPsec-VPN連接的帶寬?。 |
每秒支持傳輸?shù)臄?shù)據(jù)包數(shù)量 | 一個(gè)VPN網(wǎng)關(guān)實(shí)例兩個(gè)方向每秒支持傳輸?shù)臄?shù)據(jù)包數(shù)量之和為12萬 pps(每個(gè)數(shù)據(jù)包為256字節(jié)) 說明 如果一個(gè)VPN網(wǎng)關(guān)實(shí)例下存在多個(gè)IPsec連接,則多個(gè)IPsec連接兩個(gè)方向每秒支持傳輸?shù)臄?shù)據(jù)包數(shù)量之和不能超過12萬 pps(每個(gè)數(shù)據(jù)包為256字節(jié))。 |
|
實(shí)現(xiàn)高可用鏈路的方式 | 通過主備鏈路的方式實(shí)現(xiàn)鏈路的高可用。 | 通過ECMP(Equal-Cost Multipath Routing)方式實(shí)現(xiàn)鏈路的高可用。 |
典型應(yīng)用場景 |
|
|