文档

功能特性

更新时间:

IPsec-VPN提供灵活的流量路由方式,并使用网络密钥交换IKE(Internet Key Exchange)和IP层协议安全结构IPsec(Internet Protocol Security)协议对传输数据进行加密,用于在本地数据中心与阿里云之间建立安全、可靠的网络连接。本文介绍IPsec-VPN的功能特性。

加密算法

  • IPsec连接绑定VPN网关实例时,支持国际标准商用密码算法(普通算法)和中国国产商用密码算法(国密算法)。

  • IPsec连接绑定转发路由器时,仅支持国际标准商用密码算法(普通算法)。

    下表汇总介绍IPsec-VPN在不同加密阶段支持的加密算法:

    加密算法

    不同加密阶段支持的算法

    适用场景

    IKE加密

    IKE认证

    IPsec加密

    IPsec认证

    国际标准商用密码算法

    aes(aes128)、aes192、aes256、des、3des

    sha1、md5、sha256、sha384、sha512

    aes(aes128)、aes192、aes256、des、3des

    sha1、md5、sha256、sha384、sha512

    适用于在本地数据中心与阿里云之间建立网络连接。

    中国国产商用密码算法

    sm4

    sm3

    sm4

    sm3

    适用于在仅支持中国国产商用密码算法的本地数据中心与阿里云之间建立网络连接。

网络类型

IPsec-VPN支持基于公网或私网建立网络连接。

公网

指通过互联网建立网络连接。该网络类型下本地数据中心与阿里云均通过公网IP地址建立IPsec-VPN连接,实现网络互通。

image

私网

指通过私网建立网络连接。该网络类型下本地数据中心与阿里云需已实现私网互通,然后基于私网在本地数据中心与阿里云之间建立IPsec-VPN连接,用于实现私网流量的加密通信。

说明
  • 如果您需要实现物理专线私网流量加密通信,更推荐您使用绑定转发路由器的方式。

  • 在IPsec连接绑定VPN网关的场景下,如果VPN网关为国密型,则不支持基于私网建立网络连接。

绑定VPN网关

image

绑定转发路由器

image

路由

使用IPsec-VPN时,您需要为IPsec-VPN连接配置去往本地数据中心的路由,配置路由后,阿里云和本地数据中心之间才能通过IPsec-VPN连接实现流量互通。支持为IPsec-VPN连接配置静态路由或BGP动态路由。