通过使用IPsec-VPN建立加密隧道,可实现云下网络(例如企业数据中心或企业办公网络)和云上VPC私网连通及安全互访。
阿里云VPN网关产品在中国国家相关政策法规内提供服务,仅支持建立非跨境连接。如有跨境需求,请搭配使用转发路由器产品。
使用场景
阿里云IPsec-VPN用于实现站点到站点(Site-to-Site)类型的加密连接,提供2种形态:
绑定VPN网关:适用于云下网络连通云上单个VPC场景。
绑定转发路由器(TR):适用于云下网络连通云上多个VPC场景。
产品组成
绑定VPN网关
组件名称 | 说明 |
连通云下网络和云上单个VPC时,VPN网关实例是实现互通的云上出入口。它具备公网IP,用于和本地网关设备进行通信。 | |
阿里云侧的一个逻辑对象,用于在记录本地网关设备的公网IP地址。在创建IPsec-VPN连接时需要使用。 | |
定义从VPN网关到本地网关设备的加密隧道。在此连接中配置两端的加密算法、认证算法、预共享密钥(PSK)等参数。 | |
本地网关设备 | 本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和云上网关设备协商建立IPsec-VPN连接。 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
绑定转发路由器
组件名称 | 说明 |
连通云下网络和云上多个VPC时,转发路由器是实现互通的云上出入口。使用时需在转发路由器创建VPN连接,并绑定IPsec连接实例。 | |
阿里云侧的一个逻辑对象,用于在记录本地网关设备的公网IP地址。在创建IPsec-VPN连接时需要使用。 | |
定义从转发路由器到本地网关设备的加密隧道。在此连接中配置两端的加密算法、认证算法、预共享密钥(PSK)等参数。 | |
本地网关设备 | 本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和云上网关设备协商建立IPsec-VPN连接。 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
双隧道模式
一个IPsec连接下默认存在两条加密隧道。在支持多可用区的地域,两条隧道部署在不同的可用区,可以实现可用区级别的容灾。对于仅支持一个可用区的地域(例如华中1(武汉-本地地域)),两条隧道会被部署在同一个可用区,不支持可用区级别的容灾,但依旧拥有链路冗余能力。
绑定VPN网关场景下,两条加密隧道互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输,详见绑定VPN网关。
绑定转发路由器场景下,两条隧道自动形成ECMP(等价多路径)链路,两条隧道均传输流量,在一条隧道故障后,该隧道下的流量可以切换至另一条隧道进行传输,详见绑定转发路由器。
创建IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接链路冗余能力以及可用区级别的容灾能力,同时VPN网关产品也不承诺SLA。
功能对比
对比项 | 绑定VPN网关 | 绑定转发路由器 |
适用场景 | 连通云下网络和云上单个VPC | 云下网络连通云上多个VPC |
计费方式 | ||
支持的加密算法 |
| 国际标准商用密码算法 |
IPsec连接隧道模式 | 双隧道模式 部分存量的VPN网关实例下仅能创建单隧道模式的IPsec-VPN连接,推荐升级为双隧道模式。 | 双隧道模式 存量的单隧道模式的IPsec连接本身不具备高可用性,推荐您在不影响网络连通性的情况下删除重新建立IPsec连接,新创建的IPsec连接默认为双隧道模式。 |
高可用机制 | 主备隧道:流量默认走主隧道,主隧道故障时自动切换至备隧道。 | ECMP(等价多路径):两条隧道负载分担,互为冗余。 |
单个IPsec连接支持的带宽规格 | 最大支持为1000 Mbps。 部分地域的VPN网关实例带宽规格最大支持为500 Mbps,详见VPN网关实例限制。 |
针对存量单隧道模式,一个IPsec连接带宽规格最大为1000 Mbps。 |
每秒支持传输的数据包数量 | 一个VPN网关实例两个方向每秒支持传输的数据包数量之和为12万 pps(每个数据包为256字节) 如果一个VPN网关实例下存在多个IPsec连接,则多个IPsec连接两个方向每秒支持传输的数据包数量之和不能超过12万 pps(每个数据包为256字节)。 | 双隧道模式下每个隧道两个方向每秒支持传输的数据包数量之和为12万 pps(每个数据包为256字节) 针对存量单隧道模式,一个IPsec连接两个方向每秒支持传输的数据包数量之和为12万 pps(每个数据包为256字节) |