基於互連網建立IPsec-VPN串連是VPN網關產品較為常見的使用情境,但一些企業或者機構(例如金融、醫院等)因安全合規政策在串連上雲時有較高的網路通訊安全要求,例如必須使用專線串連上雲、敏感性資料需進行加密傳輸、不允許使用公網IP地址建立IPsec-VPN串連等。基於這些安全合規的要求,您可以使用私網IPsec-VPN功能,在企業或機構通過物理專線和轉寄路由器與雲上Virtual Private Cloud(Virtual Private Cloud)實現私網通訊後,使用私網IP地址在本地網關裝置和轉寄路由器之間建立私網IPsec-VPN串連,實現物理專線私網流量的加密傳輸,滿足網路安全通訊的高要求。
工作原理
私網IPsec-VPN基於物理專線和轉寄路由器(TR)工作。以本機資料中心IDC(Internet Data Center)上云為例,在本機資料中心通過物理專線和轉寄路由器與VPC實現私網互連後,在本地網關裝置中使用1個或2個私網IP地址,在轉寄路由器側配置轉寄路由器位址區段為IPsec-VPN串連分配私網網關IP地址,需確保這些私網IP地址在本地網關裝置和轉寄路由器之間可以實現私網互連。使用這些私網IP地址在本地網關裝置與轉寄路由器之間建立私網IPsec-VPN串連,每個私網IPsec-VPN串連均包含兩條隧道,在支援多可用性區域的地區,私網IPsec-VPN串連的兩條隧道會自動分布在不同可用性區域,提供可用性區域層級的容災能力。建立私網IPsec-VPN串連後,通過相關路由配置,引導本機資料中心和VPC之間的流量通過私網IPsec-VPN串連進行傳輸,實現物理專線私網流量加密傳輸,滿足網路安全通訊的高要求。
下圖以本機資料中心一台用戶端訪問VPC中的一台ECS為例,展示物理專線私網流量加密傳輸過程中加密和解密的流程,協助您理解物理專線私網流量加密傳輸原理。
常見應用情境
使用私網IPsec-VPN串連加密物理專線私網流量時,結合轉寄路由器豐富的路由控制功能,可以靈活地控制私網流量加密傳輸路徑,協助企業或機構實現複雜的私網流量加密傳輸情境。
私網流量全部加密傳輸
私網流量分段加密傳輸
部分私網流量加密傳輸
相關教程
實現物理專線私網流量加密傳輸的過程中,如果本地網關裝置支援BGP動態路由功能,推薦您使用BGP動態路由協議實現物理專線私網流量加密傳輸。
本地網關裝置支援BGP動態路由功能,請參見:
本地網關裝置不支援BGP動態路由功能,請參見:使用靜態路由方式實現物理專線私網流量加密傳輸。