文档

什么是IPsec-VPN

更新时间:

IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,并使用网络密钥交换IKE(Internet Key Exchange)和IP层协议安全结构IPsec(Internet Protocol Security)协议对传输数据进行加密,用于在企业本地数据中心或企业办公网络与阿里云之间建立安全、可靠的网络连接。

网络连接场景

使用IPsec-VPN时,IPsec连接支持绑定VPN网关实例和转发路由器实例两种资源类型,绑定不同的资源类型可以实现不同的网络连接场景。

绑定VPN网关

用于在企业本地数据中心或企业办公网络与专有网络 VPC(Virtual Private Cloud)之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以直接访问VPC内的资源。

image

绑定转发路由器

用于在企业本地数据中心或企业办公网络与阿里云转发路由器之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以与转发路由器下的其他网络互通,访问其他网络下的资源。关于转发路由器的更多信息,请参见什么是云企业网

image

IPsec-VPN组成

绑定VPN网关

组成部分

说明

VPN网关实例

使用IPsec-VPN功能前,您需要先购买一个VPN网关实例,并为VPN网关实例开启IPsec-VPN功能。VPN网关实例购买完成后,阿里云将会为您部署VPN资源。

用户网关

用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。

IPsec连接

一个IPsec连接表示一条本地数据中心和VPC之间的加密通信通道,可以控制本地数据中心访问哪些网络。

一个IPsec连接将包含一条或两条隧道,隧道用于加密传输数据。

本地网关设备

本地网关设备是指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。

说明

为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。

绑定转发路由器

组成部分

说明

转发路由器实例

转发路由器是阿里云云企业网产品下的一个组件,用于连接云上网络,实现云上同地域和跨地域的网络互通。

用户网关

用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。

IPsec连接

一个IPsec连接表示一条本地数据中心和转发路由器之间的加密通信通道,可以控制本地数据中心访问哪些网络。

一个IPsec连接将包含一条隧道,隧道用于加密传输数据。

本地网关设备

指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。

说明

为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。

隧道模式

当前IPsec-VPN存在以下两种隧道模式,不同网络连接场景支持的隧道模式不同。

  • 单隧道

    指一个IPsec-VPN连接下只拥有一条加密隧道,云上和云下的流量仅通过这一条隧道进行传输。

  • 双隧道

    指一个IPsec-VPN连接下存在两条加密隧道,互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输。双隧道模式有效提高了IPsec-VPN连接的高可用性。

绑定VPN网关

绑定VPN网关场景下,IPsec-VPN正在从单隧道模式升级为双隧道模式,部分地域已支持创建双隧道模式的IPsec-VPN,您在这些地域之前创建的单隧道模式的IPsec-VPN也支持升级为双隧道模式的IPsec-VPN。不支持创建双隧道模式的IPsec-VPN的地域,默认仅能创建单隧道模式的IPsec-VPN。更多信息,请参见【升级公告】IPsec-VPN连接升级为双隧道模式

双隧道模式

image

单隧道模式

image

绑定转发路由器

绑定转发路由器场景下,IPsec-VPN当前仅支持单隧道模式。如果您需要建立高可用的IPsec-VPN连接,可以通过创建多个IPsec-VPN连接实现。

image

功能对比

下表展示绑定VPN网关场景和绑定转发路由器场景的功能对比。

对比项

绑定VPN网关

绑定转发路由器

网络互通场景

本地数据中心仅能与VPN网关实例关联的VPC互通。

本地数据中心可通过转发路由器实例与任意VPC互通,也可以与转发路由器实例下的其他网络互通。

计费方式

包年包月

即按月购买资源,先付费,后使用。

按量付费

按照资源的实际用量结算费用,先使用,后付费。

支持的加密算法

  • 国际标准商用密码算法

  • 中国国产商用密码算法

国际标准商用密码算法

IPsec-VPN连接支持的隧道模式

  • 双隧道模式

  • 单隧道模式

单隧道模式

单个IPsec连接支持的带宽规格

最大支持为1000 Mbps。

说明

部分地域的VPN网关实例带宽规格最大支持为200 Mbps。关于地域信息,请参见VPN网关实例使用限制

默认限制为1000 Mbps。

支持通过其他方式扩大IPsec-VPN连接的带宽。更多信息,请参见如何扩大IPsec-VPN连接的带宽?

单个IPsec连接每秒最多支持传输的数据包数量

12万 pps(每个数据包为256字节)

12万 pps(每个数据包为256字节)

实现高可用链路的方式

通过主备链路的方式实现链路的高可用。

通过ECMP(Equal-Cost Multipath Routing)方式实现链路的高可用。

典型应用场景

  • 建立VPC与本地数据中心之间的连接

  • 建立VPC与VPC之间的连接

  • 建立VPC和本地数据中心之间的高可用连接(主备链路)

  • 建立多个站点之间的连接

  • 实现物理专线私网流量加密通信

更多信息,请参见IPsec-VPN应用场景(绑定VPN网关)

  • 建立VPC与本地数据中心之间的连接

  • 建立VPC和本地数据中心之间的高可用连接(ECMP链路)

  • 建立多个站点之间的连接

  • 实现物理专线私网流量加密通信

更多信息,请参见IPsec-VPN应用场景(绑定转发路由器)

相关文档

  • 本页导读 (1)