基于互联网建立IPsec-VPN连接是VPN网关产品较为常见的使用场景,但一些企业或者机构(例如金融、医院等)因安全合规政策在连接上云时有较高的网络通信安全要求,例如必须使用专线连接上云、敏感数据需进行加密传输、不允许使用公网IP地址建立IPsec-VPN连接等。基于这些安全合规的要求,您可以使用私网IPsec-VPN功能,在企业或机构通过物理专线和转发路由器与云上专有网络VPC(Virtual Private Cloud)实现私网通信后,使用私网IP地址在本地网关设备和转发路由器之间建立私网IPsec-VPN连接,实现物理专线私网流量的加密传输,满足网络安全通信的高要求。
工作原理
私网IPsec-VPN基于物理专线和转发路由器(TR)工作。以本地数据中心IDC(Internet Data Center)上云为例,在本地数据中心通过物理专线和转发路由器与VPC实现私网互通后,在本地网关设备中使用1个或2个私网IP地址,在转发路由器侧配置转发路由器地址段为IPsec-VPN连接分配私网网关IP地址,需确保这些私网IP地址在本地网关设备和转发路由器之间可以实现私网互通。使用这些私网IP地址在本地网关设备与转发路由器之间建立私网IPsec-VPN连接,每个私网IPsec-VPN连接均包含两条隧道,在支持多可用区的地域,私网IPsec-VPN连接的两条隧道会自动分布在不同可用区,提供可用区级别的容灾能力。建立私网IPsec-VPN连接后,通过相关路由配置,引导本地数据中心和VPC之间的流量通过私网IPsec-VPN连接进行传输,实现物理专线私网流量加密传输,满足网络安全通信的高要求。
下图以本地数据中心一台客户端访问VPC中的一台ECS为例,展示物理专线私网流量加密传输过程中加密和解密的流程,帮助您理解物理专线私网流量加密传输原理。
常见应用场景
使用私网IPsec-VPN连接加密物理专线私网流量时,结合转发路由器丰富的路由控制功能,可以灵活地控制私网流量加密传输路径,帮助企业或机构实现复杂的私网流量加密传输场景。
私网流量全部加密传输
私网流量分段加密传输
部分私网流量加密传输
相关教程
实现物理专线私网流量加密传输的过程中,如果本地网关设备支持BGP动态路由功能,推荐您使用BGP动态路由协议实现物理专线私网流量加密传输。
本地网关设备支持BGP动态路由功能,请参见:
使用BGP动态路由方式实现物理专线私网流量加密传输(推荐)
使用静态和BGP动态路由方式实现物理专线私网流量加密传输
本地网关设备不支持BGP动态路由功能,请参见:使用静态路由方式实现物理专线私网流量加密传输。