方案概述

本地数据中心通过物理专线和云企业网与云上专有网络实现私网通信后,通信流量未经过加密处理,无法满足安全通信的高要求。使用私网VPN网关可帮您实现基于物理专线的私网流量(以下简称为私网流量)加密通信,提高网络的安全性。本文为您介绍私网流量加密通信原理和配置方案。

重要

如果您需要实现私网流量加密通信,更推荐您使用私网IPsec连接绑定转发路由器的方式。具体操作,请参见建立多条私有IPsec-VPN连接实现私网流量的负载分担

私网流量加密通信原理

在本地数据中心IDC(Internet Data Center)通过物理专线和云企业网与云上专有网络VPC(Virtual Private Cloud)实现私网通信后,私网VPN网关可通过已建立的私网连接与本地网关设备建立加密通信通道。您可以通过相关路由配置引导本地IDC和VPC要互通的流量进入加密通信通道,实现私网流量加密通信。

私网连接方案概述

以下内容以本地IDC的客户端访问VPC中的云服务器ECS(Elastic Compute Service)为例,为您介绍私网流量加密通信过程,方便您了解私网流量加密通信原理。

流量传输说明

序号

转发流量的对象

转发说明

客户端

  1. 客户端发起访问请求。

  2. 客户端通过查询路由表,将请求报文转发至本地网关设备。

本地网关设备

  1. 本地网关设备接收到请求报文后,依据请求报文的目的地址和IPsec配置,对请求报文进行加密封装。

    请求报文被加密封装后,目的地址变更为VPN网关私网IP地址。

  2. 本地网关设备依据请求报文被封装后的目的IP地址查询路由表,将请求报文转发至边界路由器VBR(Virtual border router)实例。

VBR实例

VBR实例接收到封装后的请求报文后,通过查询路由表将封装后的请求报文转发至云企业网。

云企业网

云企业网接收到封装后的请求报文后,通过查询路由表将封装后的请求报文转发至VPC。

VPC实例

VPC接收到封装后的请求报文后,通过查询路由表将封装后的请求报文转发至VPN网关。

VPN网关

  1. VPN网关接收到封装后的请求报文后,对请求报文进行解密封装。

  2. VPN网关依据请求报文被解密封装后的目的IP地址查询路由表,将请求报文转发至ECS。

ECS实例

  1. ECS接收到请求报文后进行响应,向客户端发送回复报文。

  2. ECS依据回复报文的目的地址查询路由表,将回复报文转发至VPN网关。

VPN网关

  1. VPN网关接收到回复报文后,对回复报文进行加密封装。

    回复报文被加密封装后,目的地址变更为本地网关设备VPN IP地址。

  2. VPN网关依据回复报文被封装后的目的IP地址查询路由表,将回复报文转发至VPC。

VPC实例

VPC接收到封装后的回复报文后,通过查询路由表将封装后的回复报文转发至云企业网。

云企业网

云企业网接收到封装后的回复报文后,通过查询路由表将封装后的回复报文转发至VBR实例。

VBR实例

VBR实例接收到封装后的回复报文后,通过查询路由表将封装后的回复报文转发至本地网关设备。

本地网关设备

  1. 本地网关设备接收到回复报文后,对回复报文进行解密封装。

  2. 本地网关设备依据回复报文被解密封装后的目的IP地址查询路由表,将回复报文转发至客户端。

配置方案说明

在通过私网VPN网关实现私网流量加密通信的过程中,根据VBR实例和VPN网关运行的协议不同,可分为以下三个配置方案,下表为您介绍三个配置方案的区别以及相关配置教程。

配置方案

配置说明

配置教程

VPN网关连接中断后的通信影响

方案一

VBR实例和VPN网关均配置静态路由。

通过静态路由方式实现私网流量加密通信

  • 私网通信流量不再被加密。

  • 本地IDC与VPC之间的私网连接中断。

    您可以手动撤销VPN网关中的路由发布,撤销后,本地IDC与VPC之间自动通过物理专线和云企业网恢复私网连接。

方案二

  • VBR实例配置静态路由。

  • VPN网关运行BGP动态路由协议。

说明

VBR实例运行BGP动态路由协议以及VPN网关配置静态路由的配置方案暂不支持。

通过静态和BGP路由方式实现私网流量加密通信

  • 私网通信流量不再被加密。

  • 系统将自动撤销通过VPN网关BGP动态路由协议发布的路由。

  • 本地IDC与VPC之间自动通过物理专线和云企业网进行私网通信。

方案三

VBR实例和VPN网关均运行BGP动态路由协议。

通过BGP路由方式实现私网流量加密通信

  • 私网通信流量不再被加密。

  • 系统将自动撤销通过VPN网关BGP动态路由协议发布的路由。

  • 本地IDC与VPC之间自动通过物理专线和云企业网进行私网通信。