IPsec-VPN构建分支上云网络
设计概述
介绍
对云用户而言,在上云、用云、管云过程中持续维持良好的云上架构变得极具挑战,而通过产品和技术构建阿里云和企业分支上云网络往往是企业上云的第一步。
本文档主要目的在IPsec-VPN构建分支上云网络场景,给用户分享阿里云上的架构设计最佳实践总结为一系列的方法论和设计原则,围绕稳定、安全、性能、弹性、可观测 、自服务等方面,形成阿里云卓越架构框架,以帮助云用户可以通过IPsec-VPN构建分支上云网络。
基本概念
VPN 网关:VPN网关(VPN Gateway)是一款提供网络连接服务的产品,通过建立加密隧道的方式实现企业本地数据中心、企业办公网络、互联网客户端与阿里云之间安全可靠的网络连接。
IPsec-VPN:主要用于企业分支机构的上云场景。IPsec VPN是一种传统的VPN类型,在网络层提供安全的IP通信。通过使用IPsec协议,它能够对每个数据包进行加密和身份验证,从而确保数据传输的安全性和完整性。IPsec-VPN通常用于站点对站点或远程访问VPN,需要在用户的设备或网络网关上进行配置。
SSL-VPN:主要用于企业用户移动客户端的上云场景。SSL VPN则通过安全套接层(SSL)或较新的传输层安全性(TLS)协议在会话层提供安全的连接,与IPsec-VPN不同,SSL-VPN不需要客户端软件,用户可以通过任何标准的Web浏览器安全地访问网络资源,因为SSL是大多数现代Web浏览器所支持的。SSL-VPN更灵活,易于实施,尤其适合提供远程用户对特定应用或服务的安全访问。目前阿里云支持Windows、Linux、Mac、Android等多操作系统客户端。
云企业网:云企业网CEN(Cloud Enterprise Network)是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR(Transit Router)帮助您在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,为您打造一张灵活、可靠、大规模的企业级云上网络。
在用户创建IPsec-VPN的过程中,依据IPsec连接绑定的资源不同,实现网络连接的方式也不相同,如下图所示:
绑定VPN网关实例:VPN网关实例是直接连接到用户的云上VPC,可以通过连接的VPC与其他网络互通
绑定转发路由器TR实例:IPsec连接绑定TR是直接连接到转发路由器TR,可以通过连接的TR与其他网络互通
绑定VPN网关实例和绑定TR实例功能对比
对比项 | 绑定VPN网关实例 | 绑定转发路由器实例 |
关联的资源 | 在创建IPsec-VPN时,您需购买VPN网关实例,VPN网关实例需关联至一个VPC上。 IDC或分支可与关联的VPC直接互通,也可以通过关联的VPC与其他网络互通。 | 在创建IPsec-VPN时,无需购买VPN网关实例,也无需关联VPC,需要搭配使用云企业网CEN产品,在云企业网下创建TR实例。 IDC或分支可通过TR实例与任意VPC互通,也可以与转发路由器实例下的其他网络直接互通。 |
【弹性】计费方式 | 包年包月 即按月购买资源,先付费,后使用。 比较适合预算制的客户 | 按量付费 按照资源用量结算费用,先使用,后付费。 比较适合用量波动明显的客户 |
【安全】支持的加密算法 |
|
|
【稳定】IPsec-VPN连接支持的隧道模式 |
|
可以通过多个IPsec连接提供高可用性 |
【弹性】单个IPsec连接支持的带宽规格 | 最大支持为1000 Mbps | 默认限制为1000 Mbps 可以通过多个IPsec连接提供更大带宽 比较适合需要大带宽的客户 |
【性能】单个IPsec连接每秒最多支持传输的数据包数量 | 12万 pps | 12万 pps |
支持的网络类型 |
表示通过互联网建立加密隧道。
表示基于物理专线的私网连接建立加密隧道。 |
表示通过互联网建立加密隧道。
表示基于物理专线的私网连接建立加密隧道。 |
支持的接入方式 |
|
|
【稳定】实现高可用链路的方式 | 通过主备链路的方式实现链路的高可用。 | 通过ECMP方式实现链路的高可用。 |
设计原则
VPN网关是企业通过IPsec-VPN构建分支上云网络的关键产品,通过建立加密隧道的方式实现企业IDC、企业分支等与阿里云VPC之间安全可靠的私网连接。IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便用户配置和维护VPN策略,适用于在IDC、分支、客户端等与VPC之间建立网络连接。
稳定:IPsec-VPN承担企业IDC和阿里云之间的桥梁,其稳定持续服务能力,直接关系到企业混合云组网的稳定,因此需要全面考虑端到端稳定性设计。
安全:IPsec-VPN承担企业IDC和阿里云之间的桥梁,必须要帮助企业确保链路的加密和安全,此外特定行业还有需要支持国密算法等特殊加密要求,因此在设计IPsec-VPN构建上云分支网络时,要充分考虑到安全加密方面的建设。
弹性:IPsec-VPN承担企业IDC和阿里云之间的互通通道,很多企业会面临带宽利用率的不足和流量闲置,即需要确保在流量峰值时能够有充足的资源提供可靠服务,也需要在流量低峰时能够按量付费,做到资源成本的优化。同时如果需要媲美专线的大带宽的上云能力,也具备弹性能力提供更大带宽能力
设计关键点
稳定
设备级别高可用:IPsec-VPN底层采用双机热备架构,故障时秒级切换,保证会话不中断,业务不受影响。
链路级别高可用:目前所有VPN网关默认支持双隧道模式,链路故障时支持秒级切换。IPsec连接绑定TR可以使用多个连接提供ECMP高可用链路。
单隧道的IPsec-VPN连接支持升级为双隧道模式 。双隧道模式的IPsec-VPN连接拥有主备两条隧道,在主隧道故障后,流量可以通过备隧道进行传输,提高了IPsec-VPN连接的高可用性。VPN网关升级期间无法提供服务,已有连接也会中断。建议您在网络维护窗口期间进行升级,以免影响业务运行。
用户级别高可用:用户本地网关设备可以通过多个设备提供高可用,故障时可以提供用户侧的设备高可用性切换
VPN配合上云专线实现高可用:除了IPsec-VPN产品本身的稳定性和高可用性方面的设计,IPsec-VPN还可以搭配上云专提供更佳稳定性的架构设计。在路由配置上,本地IDC网关设备与VPN网关之间可以配置静态路由或BGP动态路由协议互联,但本地IDC网关设备与边界路由器VBR之间必须要通过BGP动态路由协议互联。
安全合规
使用网络密钥交换IKE和IP层协议安全结构IPsec协议对传输数据进行加密,保证数据安全可信。
IKE版本的选择:
如果使用的VPN类型为国密型,则IKE版本仅支持IKEv1;如果使用的VPN类型为标准型,则IKE版本支持IKEv1和IKEv2
相对于IKEv1版本,IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,推荐选择IKEv2版本(默认值)
加密算法:
如果使用的是普通型VPN网关,则加密算法支持aes(aes128,默认值)、aes192、aes256、des和3des。
如果使用的是国密型VPN网关,则加密算法支持sm4(默认值)。
说明如果VPN网关实例的带宽规格为200 Mbps及以上,推荐使用aes、aes192、aes256加密算法,不推荐使用3des加密算法。aes是一种对称密钥加密算法,提供高强度的加密和解密,在保证数据安全传输的同时对网络延迟、吞吐量、转发性能影响较小;3des是三重数据加密算法,加密时间较长且算法复杂度较高,运算量较大,相比aes会降低转发性能。
认证算法:
如果使用的是普通型VPN网关,则认证算法支持sha1(默认值)、md5、sha256、sha384和sha512。
如果使用的是国密型VPN网关,则认证算法支持sm3(默认值)。
合规性:阿里云VPN网关在中国相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。涉及到跨境场景,建议结合云企业网CEN跨境专线搭配使用。
高效性能
提供大带宽能力:单个IPsec连接最大支持的带宽规格为1000 Mbps,如果需要扩大IPsec-VPN连接的带宽,可以通过部署多个IPsec连接TR来实现,IDC和VPN网关之间通过多个IPsec-VPN连接传输流量。
提供高pps能力:在高pps场景下,单个IPsec连接每秒最多支持传输的数据包数量12万pps(256字节)
单隧道模式的IPsec-VPN连接,每个转发路由器TR支持ECMP(Equal-Cost Multipath Routing)的VPN连接数量是16个。
弹性
功能开通即用,配置实时生效,实现快速部署,并且IPsec连接绑定TR使用,还支持多根IPsec-VPN来提供良好的弹性带宽扩容能力。
单隧道模式的IPsec-VPN连接,每个转发路由器TR支持ECMP(Equal-Cost Multipath Routing)的VPN连接数量是16个。
可观测
结合阿里云云监控服务和NIS产品,用户可以查看VPN网关实例和IPsec连接的监控信息,并可以为VPN网关实例创建阈值报警规则,监控VPN网关实例的流量传输情况,以便在流量传输异常时及时收到报警通知
自服务
诊断与排查
VPN网关提供多种诊断工具和相关文档帮助用户排查VPN网关相关问题
VPN网关支持查看IPsec-VPN连接和SSL-VPN连接日志、支持查看IPsec-VPN连接错误码,VPN网关接入网络智能服务NIS后支持VPN网关实例诊断、路径分析功能,这些功能均可以帮助您排查VPN网关相关问题。
诊断工具及文档说明:
诊断工具或文档 | 说明 |
用户可以使用该功能排查使用VPN网关过程中遇到的问题,例如IPsec-VPN连接协商问题、VPN网关路由配置问题、VPN网关实例状态问题等,系统会根据诊断出的异常项提供修复建议。 | |
用户可以使用该功能诊断通过VPN网关建立网络连接的资源之间的网络连通性问题,适用于流量转发异常类问题诊断。 | |
该文档汇总了IPsec-VPN连接常见错误及排查方法,您可以通过VPN网关管理控制台提示的错误码和IPsec连接的日志信息,对照文档中的汇总表自主排查问题。 | |
该文档汇总了常见的IPsec-VPN连接协商问题和连通性问题及解决方案供您查阅。 | |
使用IPsec-VPN的过程中,如果遇到问题,您可以通过该文档自助排查问题。 |
设计最佳实践
通过VPN网关连接到DMZ VPC方式(主备隧道)
场景描述:当有企业分支、企业员工客户端想私网访问云上资源或者相互之间要互通时,可以使用VPN网关方式接入,并且多个业务VPC可以通过DMZ VPC的VPN网关实现加密链路上云
DMZ VPC设计要点:DMZ VPC内创建VPN网关,用VPN网关连接分支;DMZ VPC连接到TR后可以和本地域和其他地域的VPC、VBR、VPN互通
VPN网关设计要点
网关类型:根据需要选择普通型还是国密型,创建网关实例后无法修改,慎重选择
隧道模式:建议选择双隧道(主备隧道、双可用区双交换机),可以实现双公网IP和双可用区容灾
接入服务:
如果接入分支(网络),则需开启IPsecVPN功能、并配置IPsec隧道
如果接入非IOS客户端,则需开启SSLVPN功能、并配置SSL-VPN服务端
如果接入iOS客户端,则需开启SSLVPN功能、并配置IPsec服务端
通过IPsec隧道连接到TR方式(多ECMP链路)
场景描述:当有企业分支想私网访问云上资源或者相互之间要互通时,可以使用IPsec隧道连接TR方式接入。TR支持同时绑定多个IPsec连接。IDC可以通过多条IPsec-VPN链路与VPC互通,多个IPsec-VPN链路之间可以实现流量的负载分担,从而提供大带宽的私网上云连接能力
多IPsec形成ECMP链路设计要点:
阿里云:配置多个IPsec连接并连接到TR,TR路由表出接口到多个IPsec连接形成ECMP,既能做IPsec多可用区容灾、又能扩容IPsec隧道容量(单隧道1Gbps*隧道数量)
分支侧:建议用多台设备各建一个隧道,分支网络选择多个设备作为路由下一跳形成ECMP,既能做多设备(多隧道)容灾、又能扩容IPsec隧道容量(单隧道1Gbps*隧道数量)。
说明也可用1台设备建立多隧道,但此时这台网关设备可能存在单点故障风险。
通过私网VPN网关实现物理专线加密通信
场景描述:考虑到专线流量本身没有加密机制,在IDC已通过物理专线与VPC建立私网连接的基础上,可以通过IPsec-VPN和VPN网关实现物理专线私网流量加密通信,提高私网互通的安全性。
私网流量加密通信:在本地数据中心IDC通过物理专线和云企业网与云上专有网络VPC实现私网通信后,私网VPN网关可通过已建立的私网连接与本地网关设备建立加密通信通道。可以通过相关路由配置引导本地IDC和VPC要互通的流量进入加密通信通道,实现私网流量加密通信。
路由配置设计要点:根据VBR实例和VPN网关运行的协议不同,可支持三种路由配置方式:VBR实例和VPN网关均配置静态路由、VBR实例配置静态路由VPN网关运行BGP动态路由协议、VBR实例和VPN网关均运行BGP动态路由协议。
应用场景介绍
远程工作访问:VPN允许员工从家中或在旅途中通过加密的连接安全地访问企业内部网络。使用VPN时,员工可以像在办公室一样访问文件和应用程序。这保证了数据传输的私密性和安全性,防止了敏感信息的泄露。对于跨国公司来说,VPN是维护日常运营的重要工具。例如,国际咨询公司的顾问经常在外地,使用VPN可以随时获取公司内部资源。
安全数据传输:对于需要传输敏感数据的企业来说,VPN提供了一个安全的通道。使用强加密协议,企业能确保数据在公网中传输的过程中不会被截获。这对金融机构或法律咨询公司尤其重要。例如,律师事务所与客户之间通过VPN传输保密文件,确保了客户隐私和案件敏感信息的安全。
上云链路的容灾备份:用户在混合云的上云链路可以组合使用IPsec-VPN和物理专线,实现本地数据中心IDC和云上业务通过物理专线和IPsec-VPN进行主备链路上云。