IPsec-VPN提供灵活的流量路由方式,并使用网络密钥交换IKE(Internet Key Exchange)和IP层协议安全结构IPsec(Internet Protocol Security)协议对传输数据进行加密,用于在本地数据中心与阿里云之间建立安全、可靠的网络连接。本文介绍IPsec-VPN的功能特性。
加密算法
IPsec连接绑定VPN网关实例时,支持国际标准商用密码算法(普通算法)和中国国产商用密码算法(国密算法)。
IPsec连接绑定转发路由器时,仅支持国际标准商用密码算法(普通算法)。
下表汇总介绍IPsec-VPN在不同加密阶段支持的加密算法:
加密算法
不同加密阶段支持的算法
适用场景
IKE加密
IKE认证
IPsec加密
IPsec认证
国际标准商用密码算法
aes(aes128)、aes192、aes256、des、3des
sha1、md5、sha256、sha384、sha512
aes(aes128)、aes192、aes256、des、3des
sha1、md5、sha256、sha384、sha512
适用于在本地数据中心与阿里云之间建立网络连接。
中国国产商用密码算法
sm4
sm3
sm4
sm3
适用于在仅支持中国国产商用密码算法的本地数据中心与阿里云之间建立网络连接。
网络类型
IPsec-VPN支持基于公网或私网建立网络连接。
公网
指通过互联网建立网络连接。该网络类型下本地数据中心与阿里云均通过公网IP地址建立IPsec-VPN连接,实现网络互通。
私网
指通过私网建立网络连接。该网络类型下本地数据中心与阿里云需已实现私网互通,然后基于私网在本地数据中心与阿里云之间建立IPsec-VPN连接,用于实现私网流量的加密通信。
如果您需要实现物理专线私网流量加密通信,更推荐您使用绑定转发路由器的方式。
在IPsec连接绑定VPN网关的场景下,如果VPN网关为国密型,则不支持基于私网建立网络连接。
绑定VPN网关
绑定转发路由器
路由
使用IPsec-VPN时,您需要为IPsec-VPN连接配置去往本地数据中心的路由,配置路由后,阿里云和本地数据中心之间才能通过IPsec-VPN连接实现流量互通。支持为IPsec-VPN连接配置静态路由或BGP动态路由。
IPsec连接绑定VPN网关场景下如何配置路由,请参见VPN网关路由配置概述。
IPsec连接绑定转发路由器场景下如何配置路由,请参见配置IPsec连接路由。