IPsec-VPN是一種基於路由的網路連接技術,提供靈活的流量路由方式,方便您配置和維護VPN策略,並使用網路金鑰交換IKE(Internet Key Exchange)和IP層協議安全結構IPsec(Internet Protocol Security)協議對傳輸資料進行加密,用於在企業本機資料中心或企業辦公網路與阿里雲之間建立安全、可靠的網路連接。
阿里雲VPN網關產品在中國國家相關政策法規內提供服務,僅支援建立非跨境串連,不支援建立跨境串連。更多資訊,請參見非跨境串連。
網路連接情境
使用IPsec-VPN時,IPsec串連支援綁定VPN網關執行個體和轉寄路由器執行個體兩種資源類型,綁定不同的資源類型可以實現不同的網路連接情境。
綁定VPN網關
用於在企業本機資料中心或企業辦公網路與Virtual Private Cloud(Virtual Private Cloud)之間建立網路連接,建立串連後,企業本機資料中心或企業辦公網路可以直接存取VPC內的資源。
綁定轉寄路由器
用於在企業本機資料中心或企業辦公網路與阿里雲轉寄路由器之間建立網路連接,建立串連後,企業本機資料中心或企業辦公網路可以與轉寄路由器下的其他網路互連,訪問其他網路下的資源。關於轉寄路由器的更多資訊,請參見什麼是雲企業網。
IPsec-VPN組成
綁定VPN網關
組成部分 | 說明 |
VPN網關執行個體 | 使用IPsec-VPN功能前,您需要先購買一個VPN網關執行個體,並為VPN網關執行個體開啟IPsec-VPN功能。VPN網關執行個體購買完成後,阿里雲將會為您部署VPN資源。 |
使用者網關 | 使用者網關是在阿里雲側建立的一個資源,用於將本地網關裝置的資訊(例如IP地址、BGP AS號)註冊到阿里雲上。 |
IPsec串連 | 一個IPsec串連表示一條本機資料中心和VPC之間的加密通訊通道,可以控制本機資料中心訪問哪些網路。 一個IPsec串連將包含一條或兩條隧道,隧道用於加密傳輸資料。 |
本地網關裝置 | 本地網關裝置是指本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和IPsec串連協商建立IPsec-VPN串連。 說明 為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。 |
綁定轉寄路由器
組成部分 | 說明 |
轉寄路由器執行個體 | 轉寄路由器是阿里雲雲企業網產品下的一個組件,用於串連雲上網路,實現雲上同地區和跨地區的網路互連。 |
使用者網關 | 使用者網關是在阿里雲側建立的一個資源,用於將本地網關裝置的資訊(例如IP地址、BGP AS號)註冊到阿里雲上。 |
IPsec串連 | 一個IPsec串連表示一條本機資料中心和轉寄路由器之間的加密通訊通道,可以控制本機資料中心訪問哪些網路。 一個IPsec串連將包含一條隧道,隧道用於加密傳輸資料。 |
本地網關裝置 | 指本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和IPsec串連協商建立IPsec-VPN串連。 說明 為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。 |
隧道模式
當前IPsec-VPN存在以下兩種隧道模式,不同網路連接情境支援的隧道模式不同。
雙隧道
指一個IPsec-VPN串連下存在兩條加密隧道,互為主備鏈路,預設情況下流量僅通過主隧道進行傳輸,在主隧道故障後,流量可以通過備隧道進行傳輸。IPsec-VPN串連的兩條隧道部署在不同的可用性區域,可以實現可用性區域層級的容災。
對於僅支援一個可用性區域的地區(例如華東5(南京-本地地區)地區),雙隧道模式的IPsec-VPN串連依舊支援主備鏈路,但不支援可用性區域層級的容災。
在建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力,同時VPN網關產品也不承諾SLA。
單隧道
指一個IPsec-VPN串連下只擁有一條加密隧道,雲上和雲下的流量僅通過這一條隧道進行傳輸。
綁定VPN網關(雙隧道模式)
綁定VPN網關情境下,IPsec-VPN串連已升級為雙隧道模式。對於部分存量的VPN網關執行個體,依舊僅能建立單隧道模式的IPsec-VPN串連,單隧道模式下隧道故障會直接導致網路中斷,強烈推薦您將IPsec-VPN串連升級為雙隧道模式,升級後主隧道故障可以通過備隧道傳輸串流量,有效規避該問題。關於IPsec-VPN串連升級為雙隧道模式的更多資訊,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式。
綁定轉寄路由器(單隧道模式)
綁定轉寄路由器情境下,IPsec-VPN當前僅支援單隧道模式。如果您需要建立高可用的IPsec-VPN串連,可以通過建立多個IPsec-VPN串連實現。
功能對比
下表展示綁定VPN網關情境和綁定轉寄路由器情境的功能對比。
對比項 | 綁定VPN網關 | 綁定轉寄路由器 |
網路互連情境 | 本機資料中心僅能與VPN網關執行個體關聯的VPC互連。 | 本機資料中心可通過轉寄路由器執行個體與任意VPC互連,也可以與轉寄路由器執行個體下的其他網路互連。 |
支援的密碼編譯演算法 | 國際標準商用密碼演算法 | 國際標準商用密碼演算法 |
IPsec-VPN串連支援的隧道模式 | 雙隧道模式 說明 部分存量的VPN網關執行個體下僅能建立單隧道模式的IPsec-VPN串連,推薦將單隧道模式的IPsec-VPN串連升級為雙隧道模式。更多資訊,請參見升級IPsec-VPN串連為雙隧道模式。 | 單隧道模式 |
單個IPsec串連支援的頻寬規格 | 最大支援為1000 Mbps。 說明 部分地區的VPN網關執行個體頻寬規格最大支援為500 Mbps。關於地區資訊,請參見VPN網關執行個體使用限制。 | 預設限制為1000 Mbps。 支援通過其他方式擴大IPsec-VPN串連的頻寬。更多資訊,請參見如何擴大IPsec-VPN串連的頻寬?。 |
單個IPsec串連每秒最多支援傳輸的資料包數量 | 12萬 pps(每個資料包為256位元組) | 12萬 pps(每個資料包為256位元組) |
實現高可用鏈路的方式 | 通過主備鏈路的方式實現鏈路的高可用。 | 通過ECMP(Equal-Cost Multipath Routing)方式實現鏈路的高可用。 |
典型應用情境 |
更多資訊,請參見IPsec-VPN應用情境(綁定VPN網關)。 |
更多資訊,請參見IPsec-VPN應用情境(綁定轉寄路由器)。 |