IPsec-VPN在本地网络(企业数据中心、办公网络等)与阿里云VPC之间建立加密隧道,让两端像在同一内网一样安全互访。
阿里云VPN网关产品在中国国家相关政策法规内提供服务,仅支持建立非跨境连接。如有跨境需求,请搭配使用转发路由器产品。
两种绑定模式
IPsec-VPN提供两种连接方式,根据需要连通的VPC数量来选择:
绑定VPN网关(连接单VPC)
将IPsec连接绑定到VPN网关实例上,适用于本地数据中心与单个VPC互通的场景。
工作方式:本地网关设备 ↔ IPsec加密隧道 ↔ VPN网关 ↔ VPC
适用情况:
只需连接一个VPC
需要使用国密算法(仅传统型VPN网关支持)
需要同时使用SSL-VPN远程接入(仅传统型VPN网关支持)
绑定转发路由器(连接多VPC)
将IPsec连接直接绑定到云企业网(CEN)的转发路由器上,适用于本地数据中心与多个VPC互通的场景。
工作方式:本地网关设备 ↔ IPsec加密隧道 ↔ 转发路由器 ↔ 多个VPC
适用情况:
需要连接多个VPC(跨地域或同地域)
需要ECMP负载均衡实现高可用
单连接带宽需求超过1 Gbps(最高支持2 Gbps)
核心组件
组件 | 说明 |
部署在阿里云侧的网关设备,是加密隧道的云端端点。分为增强型和传统型两种形态。 | |
云企业网(CEN)的核心组件,负责跨VPC、跨地域的流量转发。在多VPC场景下替代VPN网关作为云端端点。 | |
阿里云侧的逻辑对象,用于记录本地网关设备的公网IP地址。创建IPsec连接时需要引用。 | |
定义从云端到本地网关设备的加密隧道参数,包括加密算法、认证算法、预共享密钥(PSK)等。 | |
本地数据中心中支持IPsec VPN的物理设备或软件(如strongSwan、Cisco、华为、H3C等),负责与云端协商建立隧道。 |
为方便描述,本文档将企业本地数据中心、企业办公网络等需要与阿里云建立IPsec-VPN连接的网络统称为本地数据中心。
双隧道模式
每个IPsec连接默认包含两条加密隧道。在支持多可用区的地域,两条隧道部署在不同可用区,提供可用区级别的容灾能力。对于仅支持一个可用区的地域(例如华中1(武汉-本地地域)),两条隧道会部署在同一可用区,不支持可用区级别容灾,但仍具备链路冗余能力。
绑定VPN网关:主备模式
两条隧道互为主备链路:
正常情况下,流量仅通过主隧道传输
主隧道故障时,流量自动切换至备隧道
主隧道恢复后,流量自动切回
详见绑定VPN网关。
绑定转发路由器:ECMP模式
两条隧道形成等价多路径(ECMP)链路:
两条隧道同时传输流量,实现负载分担
任一隧道故障时,流量自动收敛到另一条隧道
故障隧道恢复后,自动重新分担流量
详见绑定转发路由器。
创建IPsec-VPN连接时,请确保两条隧道都配置为可用状态。如果仅配置或仅使用一条隧道,将无法获得链路冗余和可用区容灾能力,同时VPN网关不承诺SLA。
应用场景
绑定VPN网关的场景
绑定转发路由器的场景
场景选择建议
两种模式的选择建议及详细区别(例如加密算法、性能规格),详见功能特性。