本機資料中心通過物理專線和雲企業網與雲上專用網路實現私網通訊後,通訊流量未經過加密處理,無法滿足安全通訊的高要求。使用私網VPN網關可幫您實現基於物理專線的私網流量(以下簡稱為私網流量)加密通訊,提高網路的安全性。本文為您介紹私網流量加密通訊原理和配置方案。
如果您需要實現私網流量加密通訊,更推薦您使用私網IPsec串連綁定轉寄路由器的方式。具體操作,請參見建立多條私人IPsec-VPN串連實現私網流量的負載分擔。
私網流量加密通訊原理
在本機資料中心IDC(Internet Data Center)通過物理專線和雲企業網與雲上Virtual Private Cloud(Virtual Private Cloud)實現私網通訊後,私網VPN網關可通過已建立的私網串連與本地網關裝置建立加密通訊通道。您可以通過相關路由配置引導本地IDC和VPC要互連的流量進入加密通訊通道,實現私網流量加密通訊。
以下內容以本地IDC的用戶端訪問VPC中的Elastic Compute Service(Elastic Compute Service)為例,為您介紹私網流量加密通訊過程,方便您瞭解私網流量加密通訊原理。
序號 | 轉寄流量的對象 | 轉寄說明 |
① | 用戶端 |
|
② | 本地網關裝置 |
|
③ | VBR執行個體 | VBR執行個體接收到封裝後的請求報文後,通過查詢路由表將封裝後的請求報文轉寄至雲企業網。 |
④ | 雲企業網 | 雲企業網接收到封裝後的請求報文後,通過查詢路由表將封裝後的請求報文轉寄至VPC。 |
⑤ | VPC執行個體 | VPC接收到封裝後的請求報文後,通過查詢路由表將封裝後的請求報文轉寄至VPN網關。 |
⑥ | VPN網關 |
|
⑦ | ECS執行個體 |
|
⑧ | VPN網關 |
|
⑨ | VPC執行個體 | VPC接收到封裝後的回複報文後,通過查詢路由表將封裝後的回複報文轉寄至雲企業網。 |
⑩ | 雲企業網 | 雲企業網接收到封裝後的回複報文後,通過查詢路由表將封裝後的回複報文轉寄至VBR執行個體。 |
⑪ | VBR執行個體 | VBR執行個體接收到封裝後的回複報文後,通過查詢路由表將封裝後的回複報文轉寄至本地網關裝置。 |
⑫ | 本地網關裝置 |
|
配置方案說明
在通過私網VPN網關實現私網流量加密通訊的過程中,根據VBR執行個體和VPN網關啟動並執行協議不同,可分為以下三個配置方案,下表為您介紹三個配置方案的區別以及相關配置教程。
配置方案 | 配置說明 | 配置教程 | VPN網關串連中斷後的通訊影響 |
方案一 | VBR執行個體和VPN網關均配置靜態路由。 |
| |
方案二 |
說明 VBR執行個體運行BGP動態路由協議以及VPN網關配置靜態路由的配置方案暫不支援。 |
| |
方案三 | VBR執行個體和VPN網關均運行BGP動態路由協議。 |
|