本地数据中心通过物理专线和云企业网与云上专有网络实现私网通信后,通信流量未经过加密处理,无法满足安全通信的高要求。使用私网VPN网关可帮您实现基于物理专线的私网流量(以下简称为私网流量)加密通信,提高网络的安全性。本文为您介绍私网流量加密通信原理和配置方案。
如果您需要实现私网流量加密通信,更推荐您使用私网IPsec连接绑定转发路由器的方式。具体操作,请参见建立多条私有IPsec-VPN连接实现私网流量的负载分担。
私网流量加密通信原理
在本地数据中心IDC(Internet Data Center)通过物理专线和云企业网与云上专有网络VPC(Virtual Private Cloud)实现私网通信后,私网VPN网关可通过已建立的私网连接与本地网关设备建立加密通信通道。您可以通过相关路由配置引导本地IDC和VPC要互通的流量进入加密通信通道,实现私网流量加密通信。
以下内容以本地IDC的客户端访问VPC中的云服务器ECS(Elastic Compute Service)为例,为您介绍私网流量加密通信过程,方便您了解私网流量加密通信原理。
序号 | 转发流量的对象 | 转发说明 |
① | 客户端 |
|
② | 本地网关设备 |
|
③ | VBR实例 | VBR实例接收到封装后的请求报文后,通过查询路由表将封装后的请求报文转发至云企业网。 |
④ | 云企业网 | 云企业网接收到封装后的请求报文后,通过查询路由表将封装后的请求报文转发至VPC。 |
⑤ | VPC实例 | VPC接收到封装后的请求报文后,通过查询路由表将封装后的请求报文转发至VPN网关。 |
⑥ | VPN网关 |
|
⑦ | ECS实例 |
|
⑧ | VPN网关 |
|
⑨ | VPC实例 | VPC接收到封装后的回复报文后,通过查询路由表将封装后的回复报文转发至云企业网。 |
⑩ | 云企业网 | 云企业网接收到封装后的回复报文后,通过查询路由表将封装后的回复报文转发至VBR实例。 |
⑪ | VBR实例 | VBR实例接收到封装后的回复报文后,通过查询路由表将封装后的回复报文转发至本地网关设备。 |
⑫ | 本地网关设备 |
|
配置方案说明
在通过私网VPN网关实现私网流量加密通信的过程中,根据VBR实例和VPN网关运行的协议不同,可分为以下三个配置方案,下表为您介绍三个配置方案的区别以及相关配置教程。
配置方案 | 配置说明 | 配置教程 | VPN网关连接中断后的通信影响 |
方案一 | VBR实例和VPN网关均配置静态路由。 |
| |
方案二 |
说明 VBR实例运行BGP动态路由协议以及VPN网关配置静态路由的配置方案暂不支持。 |
| |
方案三 | VBR实例和VPN网关均运行BGP动态路由协议。 |
|