IPsec-VPN是一種基於路由的網路連接技術,提供靈活的流量路由方式,方便您配置和維護VPN策略,並使用網路金鑰交換IKE(Internet Key Exchange)和IP層協議安全結構IPsec(Internet Protocol Security)協議對傳輸資料進行加密,用於在企業本機資料中心或企業辦公網路與阿里雲之間建立安全、可靠的網路連接。
阿里雲VPN網關產品在中國國家相關政策法規內提供服務,僅支援建立非跨境串連,不支援建立跨境串連。更多資訊,請參見非跨境串連。
網路連接情境
使用IPsec-VPN時,IPsec串連支援綁定VPN網關執行個體和轉寄路由器執行個體兩種資源類型,綁定不同的資源類型可以實現不同的網路連接情境。
綁定VPN網關
用於在企業本機資料中心或企業辦公網路與Virtual Private Cloud(Virtual Private Cloud)之間建立網路連接,建立串連後,企業本機資料中心或企業辦公網路可以直接存取VPC內的資源。
綁定轉寄路由器
用於在企業本機資料中心或企業辦公網路與阿里雲轉寄路由器之間建立網路連接,建立串連後,企業本機資料中心或企業辦公網路可以與轉寄路由器下的其他網路互連,訪問其他網路下的資源。關於轉寄路由器的更多資訊,請參見什麼是雲企業網。
IPsec-VPN組成
綁定VPN網關
組成部分 | 說明 |
VPN網關執行個體 | 使用IPsec-VPN功能前,您需要先購買一個VPN網關執行個體,並為VPN網關執行個體開啟IPsec-VPN功能。VPN網關執行個體購買完成後,阿里雲將會為您部署VPN資源。 |
使用者網關 | 使用者網關是在阿里雲側建立的一個資源,用於將本地網關裝置的資訊(例如IP地址、BGP AS號)註冊到阿里雲上。 |
IPsec串連 | 一個IPsec串連表示一條本機資料中心和VPC之間的加密通訊通道,可以控制本機資料中心訪問哪些網路。 一個IPsec串連將包含一條或兩條隧道,隧道用於加密傳輸資料。 |
本地網關裝置 | 本地網關裝置是指本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和IPsec串連協商建立IPsec-VPN串連。 說明 為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。 |
綁定轉寄路由器
組成部分 | 說明 |
轉寄路由器執行個體 | 轉寄路由器是阿里雲雲企業網產品下的一個組件,用於串連雲上網路,實現雲上同地區和跨地區的網路互連。 |
使用者網關 | 使用者網關是在阿里雲側建立的一個資源,用於將本地網關裝置的資訊(例如IP地址、BGP AS號)註冊到阿里雲上。 |
IPsec串連 | 一個IPsec串連表示一條本機資料中心和轉寄路由器之間的加密通訊通道,可以控制本機資料中心訪問哪些網路。 一個IPsec串連將包含一條隧道,隧道用於加密傳輸資料。 |
本地網關裝置 | 指本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和IPsec串連協商建立IPsec-VPN串連。 說明 為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。 |
隧道模式
當前IPsec-VPN存在以下兩種隧道模式,不同網路連接情境支援的隧道模式不同。
單隧道
指一個IPsec-VPN串連下只擁有一條加密隧道,雲上和雲下的流量僅通過這一條隧道進行傳輸。
雙隧道
指一個IPsec-VPN串連下存在兩條加密隧道,互為主備鏈路,預設情況下流量僅通過主隧道進行傳輸,在主隧道故障後,流量可以通過備隧道進行傳輸。雙隧道模式有效提高了IPsec-VPN串連的高可用性。
綁定VPN網關
綁定VPN網關情境下,IPsec-VPN正在從單隧道模式升級為雙隧道模式,部分地區已支援建立雙隧道模式的IPsec-VPN,您在這些地區之前建立的單隧道模式的IPsec-VPN也支援升級為雙隧道模式的IPsec-VPN。不支援建立雙隧道模式的IPsec-VPN的地區,預設僅能建立單隧道模式的IPsec-VPN。更多資訊,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式。
雙隧道模式
單隧道模式
綁定轉寄路由器
綁定轉寄路由器情境下,IPsec-VPN當前僅支援單隧道模式。如果您需要建立高可用的IPsec-VPN串連,可以通過建立多個IPsec-VPN串連實現。
功能對比
下表展示綁定VPN網關情境和綁定轉寄路由器情境的功能對比。
對比項 | 綁定VPN網關 | 綁定轉寄路由器 |
網路互連情境 | 本機資料中心僅能與VPN網關執行個體關聯的VPC互連。 | 本機資料中心可通過轉寄路由器執行個體與任意VPC互連,也可以與轉寄路由器執行個體下的其他網路互連。 |
支援的密碼編譯演算法 | 國際標準商用密碼演算法 | 國際標準商用密碼演算法 |
IPsec-VPN串連支援的隧道模式 |
| 單隧道模式 |
單個IPsec串連支援的頻寬規格 | 最大支援為1000 Mbps。 說明 部分地區的VPN網關執行個體頻寬規格最大支援為500 Mbps。關於地區資訊,請參見VPN網關執行個體使用限制。 | 預設限制為1000 Mbps。 支援通過其他方式擴大IPsec-VPN串連的頻寬。更多資訊,請參見如何擴大IPsec-VPN串連的頻寬?。 |
單個IPsec串連每秒最多支援傳輸的資料包數量 | 12萬 pps(每個資料包為256位元組) | 12萬 pps(每個資料包為256位元組) |
實現高可用鏈路的方式 | 通過主備鏈路的方式實現鏈路的高可用。 | 通過ECMP(Equal-Cost Multipath Routing)方式實現鏈路的高可用。 |
典型應用情境 |
更多資訊,請參見IPsec-VPN應用情境(綁定VPN網關)。 |
更多資訊,請參見IPsec-VPN應用情境(綁定轉寄路由器)。 |