IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,并使用网络密钥交换IKE(Internet Key Exchange)和IP层协议安全结构IPsec(Internet Protocol Security)协议对传输数据进行加密,用于在企业本地数据中心或企业办公网络与阿里云之间建立安全、可靠的网络连接。
阿里云VPN网关产品在中国国家相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。更多信息,请参见非跨境连接。
前置概念
阅读本文前,您可能需要了解如下概念:
网络连接场景
使用IPsec-VPN时,IPsec连接支持绑定VPN网关实例和转发路由器实例两种资源类型,绑定不同的资源类型可以实现不同的网络连接场景。
绑定VPN网关
用于在企业本地数据中心或企业办公网络与专有网络 VPC(Virtual Private Cloud)之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以直接访问VPC内的资源。
绑定转发路由器
用于在企业本地数据中心或企业办公网络与阿里云转发路由器之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以与转发路由器下的其他网络互通,访问其他网络下的资源。关于转发路由器的更多信息,请参见什么是云企业网。
IPsec-VPN组成
绑定VPN网关
组成部分 | 说明 |
VPN网关实例 | 使用IPsec-VPN功能前,您需要先购买一个VPN网关实例,并为VPN网关实例开启IPsec-VPN功能。VPN网关实例购买完成后,阿里云将会为您部署VPN资源。 |
用户网关 | 用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 |
IPsec连接 | 一个IPsec连接表示一条本地数据中心和VPC之间的加密通信通道,可以控制本地数据中心访问哪些网络。 一个IPsec连接将包含一条或两条隧道,隧道用于加密传输数据。 |
本地网关设备 | 本地网关设备是指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。 说明 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
绑定转发路由器
组成部分 | 说明 |
转发路由器实例 | |
用户网关 | 用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 |
IPsec连接 | 一个IPsec连接表示一条本地数据中心和转发路由器之间的加密通信通道,可以控制本地数据中心访问哪些网络。 一个IPsec连接将包含一条隧道,隧道用于加密传输数据。 |
本地网关设备 | 指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。 说明 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
隧道模式
当前IPsec-VPN存在以下两种隧道模式,不同网络连接场景支持的隧道模式不同。
双隧道
指一个IPsec-VPN连接下存在两条加密隧道,互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输。IPsec-VPN连接的两条隧道部署在不同的可用区,可以实现可用区级别的容灾。
对于仅支持一个可用区的地域(例如华东5(南京-本地地域)地域),双隧道模式的IPsec-VPN连接依旧支持主备链路,但不支持可用区级别的容灾。
在创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力,同时VPN网关产品也不承诺SLA。
单隧道
指一个IPsec-VPN连接下只拥有一条加密隧道,云上和云下的流量仅通过这一条隧道进行传输。
绑定VPN网关(双隧道模式)
绑定VPN网关场景下,IPsec-VPN连接已升级为双隧道模式。对于部分存量的VPN网关实例,依旧仅能创建单隧道模式的IPsec-VPN连接,单隧道模式下隧道故障会直接导致网络中断,强烈推荐您将IPsec-VPN连接升级为双隧道模式,升级后主隧道故障可以通过备隧道传输流量,有效规避该问题。关于IPsec-VPN连接升级为双隧道模式的更多信息,请参见【升级公告】IPsec-VPN连接升级为双隧道模式。
绑定转发路由器(单隧道模式)
绑定转发路由器场景下,IPsec-VPN当前仅支持单隧道模式。如果您需要建立高可用的IPsec-VPN连接,可以通过创建多个IPsec-VPN连接实现。
功能对比
下表展示绑定VPN网关场景和绑定转发路由器场景的功能对比。
对比项 | 绑定VPN网关 | 绑定转发路由器 |
网络互通场景 | 本地数据中心仅能与VPN网关实例关联的VPC互通。 | 本地数据中心可通过转发路由器实例与任意VPC互通,也可以与转发路由器实例下的其他网络互通。 |
计费方式 | 包年包月 即按月购买资源,先付费,后使用。 | 按量付费 按照资源的实际用量结算费用,先使用,后付费。 |
支持的加密算法 |
| 国际标准商用密码算法 |
IPsec-VPN连接支持的隧道模式 | 双隧道模式 说明 部分存量的VPN网关实例下仅能创建单隧道模式的IPsec-VPN连接,推荐将单隧道模式的IPsec-VPN连接升级为双隧道模式。更多信息,请参见升级IPsec-VPN连接为双隧道模式。 | 单隧道模式 |
单个IPsec连接支持的带宽规格 | 最大支持为1000 Mbps。 说明 部分地域的VPN网关实例带宽规格最大支持为500 Mbps。关于地域信息,请参见VPN网关实例使用限制。 | 默认限制为1000 Mbps。 支持通过其他方式扩大IPsec-VPN连接的带宽。更多信息,请参见如何扩大IPsec-VPN连接的带宽?。 |
单个IPsec连接每秒最多支持传输的数据包数量 | 12万 pps(每个数据包为256字节) | 12万 pps(每个数据包为256字节) |
实现高可用链路的方式 | 通过主备链路的方式实现链路的高可用。 | 通过ECMP(Equal-Cost Multipath Routing)方式实现链路的高可用。 |
典型应用场景 |
更多信息,请参见IPsec-VPN应用场景(绑定VPN网关)。 |
更多信息,请参见IPsec-VPN应用场景(绑定转发路由器)。 |