IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,并使用网络密钥交换IKE(Internet Key Exchange)和IP层协议安全结构IPsec(Internet Protocol Security)协议对传输数据进行加密,用于在企业本地数据中心或企业办公网络与阿里云之间建立安全、可靠的网络连接。
阿里云VPN网关产品在中国国家相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。更多信息,请参见非跨境连接。
前置概念
阅读本文前,您可能需要了解如下概念:
网络连接场景
使用IPsec-VPN时,IPsec连接支持绑定VPN网关实例和转发路由器实例两种资源类型,绑定不同的资源类型可以实现不同的网络连接场景。
绑定VPN网关
用于在企业本地数据中心或企业办公网络与专有网络 VPC(Virtual Private Cloud)之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以直接访问VPC内的资源。
绑定转发路由器
用于在企业本地数据中心或企业办公网络与阿里云转发路由器之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以与转发路由器下的其他网络互通,访问其他网络下的资源,例如其他本地数据中心,多个地域的VPC等。关于转发路由器的更多信息,请参见什么是云企业网。
IPsec-VPN组成
绑定VPN网关
组成部分 | 说明 |
VPN网关实例 | 使用IPsec-VPN功能前,您需要先购买一个VPN网关实例,并为VPN网关实例开启IPsec-VPN功能。VPN网关实例购买完成后,阿里云将会为您部署VPN资源。 |
用户网关 | 用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 |
IPsec连接 | 一个IPsec连接表示一条本地数据中心和VPC之间的加密通信通道,可以控制本地数据中心访问哪些网络。 一个IPsec连接将包含一条或两条隧道,隧道用于加密传输数据。 |
本地网关设备 | 本地网关设备是指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。 说明 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
绑定转发路由器
组成部分 | 说明 |
转发路由器实例 | |
用户网关 | 用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 |
IPsec连接 | 一个IPsec连接表示一条本地数据中心和转发路由器之间的加密通信通道,可以控制本地数据中心访问哪些网络。 一个IPsec连接将包含一条隧道,隧道用于加密传输数据。 |
本地网关设备 | 指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。 说明 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
隧道模式
当前IPsec-VPN存在以下两种隧道模式,不同网络连接场景支持的隧道模式不同。
双隧道
指一个IPsec-VPN连接下存在两条加密隧道,两条隧道均支持传输流量,可以提高IPsec-VPN连接的高可用性。
重要在创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接链路冗余能力以及可用区级别的容灾能力,同时VPN网关产品也不承诺SLA。
单隧道
指一个IPsec-VPN连接下只拥有一条加密隧道,云上和云下的流量仅通过这一条隧道进行传输。
绑定VPN网关(双隧道模式)
绑定VPN网关场景下,IPsec-VPN连接已升级为双隧道模式。一个IPsec-VPN连接下存在两条加密隧道,互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输。IPsec-VPN连接的两条隧道部署在不同的可用区,可以实现可用区级别的容灾。对于仅支持一个可用区的地域(例如华东5(南京-本地地域)地域),双隧道模式的IPsec-VPN连接依旧支持主备链路,但不支持可用区级别的容灾。更多信息,请参见绑定VPN网关场景双隧道IPsec-VPN连接说明。
绑定VPN网关场景下,对于部分存量的VPN网关实例,依旧仅能创建单隧道模式的IPsec-VPN连接,单隧道模式下隧道故障会直接导致网络中断,强烈推荐您将IPsec-VPN连接升级为双隧道模式,升级后主隧道故障可以通过备隧道传输流量,有效规避该问题。关于IPsec-VPN连接升级为双隧道模式的更多信息,请参见升级IPsec-VPN连接为双隧道模式。
绑定转发路由器(双隧道模式和单隧道模式)
绑定转发路由器场景下,IPsec-VPN连接正在升级为双隧道模式。部分地域已支持创建双隧道模式的IPsec-VPN连接,一个IPsec-VPN连接下包含两条隧道,两条隧道自动形成ECMP(Equal-Cost Multipath Routing)链路,两条隧道均传输流量,在一条隧道故障后,该隧道下的流量可以切换至另一条隧道进行传输。更多信息,请参见绑定转发路由器场景双隧道IPsec-VPN连接说明。
在支持多可用区的地域,IPsec-VPN连接的两条隧道会自动分布在不同可用区,提供可用区级别的容灾能力。
对于仅支持一个可用区的地域(例如华东5(南京-本地地域)地域),双隧道模式IPsec-VPN连接的两条隧道会被部署在同一个可用区,不支持可用区级别的容灾,但依旧拥有链路冗余能力。
对于不支持双隧道模式IPsec-VPN连接的地域,仅能创建单隧道模式的IPsec-VPN连接,单隧道模式下隧道故障会直接导致网络中断,您可以通过创建多个IPsec-VPN连接提高网络的高可用性。
功能对比
下表展示绑定VPN网关场景和绑定转发路由器场景的功能对比。
对比项 | 绑定VPN网关 | 绑定转发路由器 |
网络互通场景 | 本地数据中心仅能与VPN网关实例关联的VPC互通。 | 本地数据中心可通过转发路由器实例与任意VPC互通,也可以与转发路由器实例下的其他网络互通。 |
计费方式 | 包年包月 即按月购买资源,先付费,后使用。 | 按量付费 按照资源的实际用量结算费用,先使用,后付费。 |
支持的加密算法 |
| 国际标准商用密码算法 |
IPsec-VPN连接支持的隧道模式 | 双隧道模式 说明 部分存量的VPN网关实例下仅能创建单隧道模式的IPsec-VPN连接,推荐将单隧道模式的IPsec-VPN连接升级为双隧道模式。更多信息,请参见升级IPsec-VPN连接为双隧道模式。 |
|
单个IPsec连接支持的带宽规格 | 最大支持为1000 Mbps。 说明 部分地域的VPN网关实例带宽规格最大支持为500 Mbps。关于地域信息,请参见VPN网关实例使用限制。 |
支持通过其他方式扩大IPsec-VPN连接的带宽。更多信息,请参见如何扩大IPsec-VPN连接的带宽?。 |
每秒支持传输的数据包数量 | 一个VPN网关实例两个方向每秒支持传输的数据包数量之和为12万 pps(每个数据包为256字节) 说明 如果一个VPN网关实例下存在多个IPsec连接,则多个IPsec连接两个方向每秒支持传输的数据包数量之和不能超过12万 pps(每个数据包为256字节)。 |
|
实现高可用链路的方式 | 通过主备链路的方式实现链路的高可用。 | 通过ECMP(Equal-Cost Multipath Routing)方式实现链路的高可用。 |
典型应用场景 |
更多信息,请参见IPsec-VPN应用场景(绑定VPN网关)。 |
更多信息,请参见IPsec-VPN应用场景(绑定转发路由器)。 |