IPsec-VPN是一种基于路由的网络连接技术,提供灵活的流量路由方式,方便您配置和维护VPN策略,并使用网络密钥交换IKE(Internet Key Exchange)和IP层协议安全结构IPsec(Internet Protocol Security)协议对传输数据进行加密,用于在企业本地数据中心或企业办公网络与阿里云之间建立安全、可靠的网络连接。
阿里云VPN网关产品在中国国家相关政策法规内提供服务,仅支持建立非跨境连接,不支持建立跨境连接。更多信息,请参见什么是非跨境连接和跨境连接?。
前置概念
阅读本文前,您可能需要了解如下概念:
什么是VPN?
什么是路由?
什么是数据中心?
网络连接场景
使用IPsec-VPN时,IPsec连接支持绑定VPN网关实例和转发路由器实例两种资源类型,绑定不同的资源类型可以实现不同的网络连接场景。
绑定VPN网关
用于在企业本地数据中心或企业办公网络与专有网络 VPC(Virtual Private Cloud)之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以直接访问VPC内的资源。
绑定转发路由器
用于在企业本地数据中心或企业办公网络与阿里云转发路由器之间建立网络连接,建立连接后,企业本地数据中心或企业办公网络可以与转发路由器下的其他网络互通,访问其他网络下的资源,例如其他本地数据中心,多个地域的VPC等。关于转发路由器的更多信息,请参见什么是云企业网。
IPsec-VPN组成
绑定VPN网关
组成部分 | 说明 |
VPN网关实例 | 使用IPsec-VPN功能前,您需要先购买一个VPN网关实例,并为VPN网关实例开启IPsec-VPN功能。VPN网关实例购买完成后,阿里云将会为您部署VPN资源。 |
用户网关 | 用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 |
IPsec连接 | 一个IPsec连接表示一条本地数据中心和VPC之间的加密通信通道,可以控制本地数据中心访问哪些网络。 一个IPsec连接将包含两条隧道,隧道用于加密传输数据。 |
本地网关设备 | 本地网关设备是指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。 说明 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
绑定转发路由器
组成部分 | 说明 |
转发路由器实例 | 转发路由器是阿里云云企业网产品下的一个组件,用于连接云上网络,实现云上同地域和跨地域的网络互通。 |
用户网关 | 用户网关是在阿里云侧创建的一个资源,用于将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 |
IPsec连接 | 一个IPsec连接表示一条本地数据中心和转发路由器之间的加密通信通道,可以控制本地数据中心访问哪些网络。 一个IPsec连接将包含两条隧道,隧道用于加密传输数据。 |
本地网关设备 | 指本地数据中心中的一台物理设备(通常为网关设备)或应用程序。本地网关设备需支持VPN功能,以便和IPsec连接协商建立IPsec-VPN连接。 说明 为方便描述,后续文档将企业本地数据中心、企业办公网络等需要和阿里云建立IPsec-VPN连接的网络或站点统一以本地数据中心作为示例。 |
双隧道模式
一个IPsec-VPN连接下默认存在两条加密隧道。在支持多可用区的地域,两条隧道部署在不同的可用区,可以实现可用区级别的容灾。对于仅支持一个可用区的地域(例如华东5(南京-本地地域)地域),两条隧道会被部署在同一个可用区,不支持可用区级别的容灾,但依旧拥有链路冗余能力。
IPsec连接绑定VPN网关场景下,两条加密隧道互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输。更多信息,请参见绑定VPN网关场景双隧道IPsec-VPN连接说明。
IPsec连接绑定转发路由器场景下,两条隧道自动形成ECMP(Equal-Cost Multipath Routing)链路,两条隧道均传输流量,在一条隧道故障后,该隧道下的流量可以切换至另一条隧道进行传输。更多信息,请参见绑定转发路由器场景双隧道IPsec-VPN连接说明。
创建IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接链路冗余能力以及可用区级别的容灾能力,同时VPN网关产品也不承诺SLA。
绑定VPN网关
绑定VPN网关场景下,对于部分存量的VPN网关实例,依旧仅能创建单隧道模式的IPsec-VPN连接,单隧道模式下隧道故障会直接导致网络中断,强烈推荐您将IPsec-VPN连接升级为双隧道模式,升级后主隧道故障可以通过备隧道传输流量,有效规避该问题。关于IPsec-VPN连接升级为双隧道模式的更多信息,请参见升级IPsec-VPN连接为双隧道模式。
绑定转发路由器
绑定转发路由器场景下,存量的单隧道模式的IPsec-VPN连接本身不具备高可用性,推荐您在不影响网络连通性的情况下删除重新建立IPsec-VPN连接,新创建的IPsec-VPN连接默认为双隧道模式。
功能对比
下表展示绑定VPN网关场景和绑定转发路由器场景的功能对比。
对比项 | 绑定VPN网关 | 绑定转发路由器 |
网络互通场景 | 本地数据中心仅能与VPN网关实例关联的VPC互通。 | 本地数据中心可通过转发路由器实例与任意VPC互通,也可以与转发路由器实例下的其他网络互通。 |
计费方式 | 包年包月 即按月购买资源,先付费,后使用。 | 按量付费 按照资源的实际用量结算费用,先使用,后付费。 |
支持的加密算法 |
| 国际标准商用密码算法 |
IPsec-VPN连接支持的隧道模式 | 双隧道模式 说明 部分存量的VPN网关实例下仅能创建单隧道模式的IPsec-VPN连接,推荐将单隧道模式的IPsec-VPN连接升级为双隧道模式。更多信息,请参见升级IPsec-VPN连接为双隧道模式。 | 双隧道模式 说明 存量的单隧道模式的IPsec-VPN连接本身不具备高可用性,推荐您在不影响网络连通性的情况下删除重新建立IPsec-VPN连接,新创建的IPsec-VPN连接默认为双隧道模式。 |
单个IPsec连接支持的带宽规格 | 最大支持为1000 Mbps。 说明 部分地域的VPN网关实例带宽规格最大支持为500 Mbps。关于地域信息,请参见VPN网关实例使用限制。 |
支持通过其他方式扩大IPsec-VPN连接的带宽。更多信息,请参见如何扩大IPsec-VPN连接的带宽?。 |
每秒支持传输的数据包数量 | 一个VPN网关实例两个方向每秒支持传输的数据包数量之和为12万 pps(每个数据包为256字节) 说明 如果一个VPN网关实例下存在多个IPsec连接,则多个IPsec连接两个方向每秒支持传输的数据包数量之和不能超过12万 pps(每个数据包为256字节)。 |
|
实现高可用链路的方式 | 通过主备链路的方式实现链路的高可用。 | 通过ECMP(Equal-Cost Multipath Routing)方式实现链路的高可用。 |
典型应用场景 |
更多信息,请参见IPsec-VPN应用场景(绑定VPN网关)。 |
更多信息,请参见IPsec-VPN应用场景(绑定转发路由器)。 |
相关文档
IPsec-VPN计费说明
绑定VPN网关快速入门
绑定转发路由器快速入门