全部產品
Search
文件中心

VPN Gateway:什麼是IPsec-VPN

更新時間:Nov 22, 2024

IPsec-VPN是一種基於路由的網路連接技術,提供靈活的流量路由方式,方便您配置和維護VPN策略,並使用網路金鑰交換IKE(Internet Key Exchange)和IP層協議安全結構IPsec(Internet Protocol Security)協議對傳輸資料進行加密,用於在企業本機資料中心或企業辦公網路與阿里雲之間建立安全、可靠的網路連接。

說明

阿里雲VPN網關產品在中國國家相關政策法規內提供服務,僅支援建立非跨境串連,不支援建立跨境串連。更多資訊,請參見非跨境串連

網路連接情境

使用IPsec-VPN時,IPsec串連支援綁定VPN網關執行個體和轉寄路由器執行個體兩種資源類型,綁定不同的資源類型可以實現不同的網路連接情境。

綁定VPN網關

用於在企業本機資料中心或企業辦公網路與Virtual Private Cloud(Virtual Private Cloud)之間建立網路連接,建立串連後,企業本機資料中心或企業辦公網路可以直接存取VPC內的資源。

綁定轉寄路由器

用於在企業本機資料中心或企業辦公網路與阿里雲轉寄路由器之間建立網路連接,建立串連後,企業本機資料中心或企業辦公網路可以與轉寄路由器下的其他網路互連,訪問其他網路下的資源,例如其他本機資料中心,多個地區的VPC等。關於轉寄路由器的更多資訊,請參見什麼是雲企業網

IPsec-VPN組成

綁定VPN網關

組成部分

說明

VPN網關執行個體

使用IPsec-VPN功能前,您需要先購買一個VPN網關執行個體,並為VPN網關執行個體開啟IPsec-VPN功能。VPN網關執行個體購買完成後,阿里雲將會為您部署VPN資源。

使用者網關

使用者網關是在阿里雲側建立的一個資源,用於將本地網關裝置的資訊(例如IP地址、BGP AS號)註冊到阿里雲上。

IPsec串連

一個IPsec串連表示一條本機資料中心和VPC之間的加密通訊通道,可以控制本機資料中心訪問哪些網路。

一個IPsec串連將包含一條或兩條隧道,隧道用於加密傳輸資料。

本地網關裝置

本地網關裝置是指本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和IPsec串連協商建立IPsec-VPN串連。

說明

為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。

綁定轉寄路由器

組成部分

說明

轉寄路由器執行個體

轉寄路由器是阿里雲雲企業網產品下的一個組件,用於串連雲上網路,實現雲上同地區和跨地區的網路互連。

使用者網關

使用者網關是在阿里雲側建立的一個資源,用於將本地網關裝置的資訊(例如IP地址、BGP AS號)註冊到阿里雲上。

IPsec串連

一個IPsec串連表示一條本機資料中心和轉寄路由器之間的加密通訊通道,可以控制本機資料中心訪問哪些網路。

一個IPsec串連將包含一條隧道,隧道用於加密傳輸資料。

本地網關裝置

指本機資料中心中的一台物理裝置(通常為網關裝置)或應用程式。本地網關裝置需支援VPN功能,以便和IPsec串連協商建立IPsec-VPN串連。

說明

為方便描述,後續文檔將企業本機資料中心、企業辦公網路等需要和阿里雲建立IPsec-VPN串連的網路或網站統一以本機資料中心作為樣本。

隧道模式

當前IPsec-VPN存在以下兩種隧道模式,不同網路連接情境支援的隧道模式不同。

  • 雙隧道

    指一個IPsec-VPN串連下存在兩條加密隧道,兩條隧道均支援傳輸串流量,可以提高IPsec-VPN串連的高可用性。

    重要

    在建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連鏈路冗餘能力以及可用性區域層級的容災能力,同時VPN網關產品也不承諾SLA

  • 單隧道

    指一個IPsec-VPN串連下只擁有一條加密隧道,雲上和雲下的流量僅通過這一條隧道進行傳輸。

綁定VPN網關(雙隧道模式)

綁定VPN網關情境下,IPsec-VPN串連已升級為雙隧道模式。一個IPsec-VPN串連下存在兩條加密隧道,互為主備鏈路,預設情況下流量僅通過主隧道進行傳輸,在主隧道故障後,流量可以通過備隧道進行傳輸。IPsec-VPN串連的兩條隧道部署在不同的可用性區域,可以實現可用性區域層級的容災。對於僅支援一個可用性區域的地區(例如華東5(南京-本地地區)地區),雙隧道模式的IPsec-VPN串連依舊支援主備鏈路,但不支援可用性區域層級的容災。更多資訊,請參見綁定VPN網關情境雙隧道IPsec-VPN串連說明

說明

綁定VPN網關情境下,對於部分存量的VPN網關執行個體,依舊僅能建立單隧道模式的IPsec-VPN串連,單隧道模式下隧道故障會直接導致網路中斷,強烈推薦您將IPsec-VPN串連升級為雙隧道模式,升級後主隧道故障可以通過備隧道傳輸串流量,有效規避該問題。關於IPsec-VPN串連升級為雙隧道模式的更多資訊,請參見升級IPsec-VPN串連為雙隧道模式

綁定轉寄路由器(雙隧道模式和單隧道模式)

  • 綁定轉寄路由器情境下,IPsec-VPN串連正在升級為雙隧道模式。部分地區已支援建立雙隧道模式的IPsec-VPN串連,一個IPsec-VPN串連下包含兩條隧道,兩條隧道自動形成ECMP(Equal-Cost Multipath Routing)鏈路,兩條隧道均傳輸串流量,在一條隧道故障後,該隧道下的流量可以切換至另一條隧道進行傳輸。更多資訊,請參見綁定轉寄路由器情境雙隧道IPsec-VPN串連說明

    • 在支援多可用性區域的地區,IPsec-VPN串連的兩條隧道會自動分布在不同可用性區域,提供可用性區域層級的容災能力。

    • 對於僅支援一個可用性區域的地區(例如華東5(南京-本地地區)地區),雙隧道模式IPsec-VPN串連的兩條隧道會被部署在同一個可用性區域,不支援可用性區域層級的容災,但依舊擁有鏈路冗餘能力。

  • 對於不支援雙隧道模式IPsec-VPN串連的地區,僅能建立單隧道模式的IPsec-VPN串連,單隧道模式下隧道故障會直接導致網路中斷,您可以通過建立多個IPsec-VPN串連提高網路的高可用性。

功能對比

下表展示綁定VPN網關情境和綁定轉寄路由器情境的功能對比。

對比項

綁定VPN網關

綁定轉寄路由器

網路互連情境

本機資料中心僅能與VPN網關執行個體關聯的VPC互連。

本機資料中心可通過轉寄路由器執行個體與任意VPC互連,也可以與轉寄路由器執行個體下的其他網路互連。

支援的密碼編譯演算法

國際標準商用密碼演算法

國際標準商用密碼演算法

IPsec-VPN串連支援的隧道模式

雙隧道模式

說明

部分存量的VPN網關執行個體下僅能建立單隧道模式的IPsec-VPN串連,推薦將單隧道模式的IPsec-VPN串連升級為雙隧道模式。更多資訊,請參見升級IPsec-VPN串連為雙隧道模式

  • 雙隧道模式

  • 單隧道模式

單個IPsec串連支援的頻寬規格

最大支援為1000 Mbps。

說明

部分地區的VPN網關執行個體頻寬規格最大支援為500 Mbps。關於地區資訊,請參見VPN網關執行個體使用限制

  • 單隧道模式下,一個IPsec串連頻寬規格最大為1000 Mbps。

  • 雙隧道模式下,一個IPsec串連頻寬規格最大為2000 Mbps。每個隧道的頻寬規格最大為1000 Mbps。

支援通過其他方式擴大IPsec-VPN串連的頻寬。更多資訊,請參見如何擴大IPsec-VPN串連的頻寬?

每秒支援傳輸的資料包數量

一個VPN網關執行個體兩個方向每秒支援傳輸的資料包數量之和為12萬 pps(每個資料包為256位元組)

說明

如果一個VPN網關執行個體下存在多個IPsec串連,則多個IPsec串連兩個方向每秒支援傳輸的資料包數量之和不能超過12萬 pps(每個資料包為256位元組)。

  • 單隧道模式下一個IPsec串連兩個方向每秒支援傳輸的資料包數量之和為12萬 pps(每個資料包為256位元組)

  • 雙隧道模式下每個隧道兩個方向每秒支援傳輸的資料包數量之和為12萬 pps(每個資料包為256位元組)

實現高可用鏈路的方式

通過主備鏈路的方式實現鏈路的高可用。

通過ECMP(Equal-Cost Multipath Routing)方式實現鏈路的高可用。

典型應用情境

  • 建立VPC與本機資料中心之間的串連

  • 建立VPC與VPC之間的串連

  • 建立VPC和本機資料中心之間的高可用串連(主備鏈路)

  • 建立多個網站之間的串連

  • 實現物理專線私網流量加密通訊

更多資訊,請參見IPsec-VPN應用情境(綁定VPN網關)

  • 建立VPC與本機資料中心之間的串連

  • 建立VPC和本機資料中心之間的高可用串連(ECMP鏈路)

  • 建立多個網站之間的串連

  • 實現物理專線私網流量加密通訊

更多資訊,請參見IPsec-VPN應用情境(綁定轉寄路由器)

相關文檔