IPsec-VPN在本網(企業資料中心、辦公網路等)與阿里雲VPC之間建立加密隧道,讓兩端像在同一內網一樣安全互訪。
阿里雲VPN網關產品在中國國家相關政策法規內提供服務,僅支援建立非跨境串連。如有跨境需求,請搭配使用轉寄路由器產品。
兩種繫結模式
IPsec-VPN提供兩種串連方式,根據需要連通的VPC數量來選擇:
綁定VPN網關(串連單VPC)
將IPsec串連綁定到VPN網關執行個體上,適用於本機資料中心與單個VPC互連的情境。
工作方式:本地網關裝置 ↔ IPsec加密隧道 ↔ VPN網關 ↔ VPC
適用情況:
只需串連一個VPC
需要同時使用SSL-VPN遠程接入(僅傳統型VPN網關支援)
綁定轉寄路由器(串連多VPC)
將IPsec串連直接綁定到雲企業網(CEN)的轉寄路由器上,適用於本機資料中心與多個VPC互連的情境。
工作方式:本地網關裝置 ↔ IPsec加密隧道 ↔ 轉寄路由器 ↔ 多個VPC
適用情況:
需要串連多個VPC(跨地區或同地區)
需要ECMP負載平衡實現高可用
單串連頻寬需求超過1 Gbps(最高支援2 Gbps)
核心組件
組件 | 說明 |
部署在阿里雲側的網關裝置,是加密隧道的雲端端點。分為增強型和傳統型兩種形態。 | |
雲企業網(CEN)的核心組件,負責跨VPC、跨地區的流量轉寄。在多VPC情境下替代VPN網關作為雲端端點。 | |
阿里雲側的邏輯對象,用於記錄本地網關裝置的公網IP地址。建立IPsec串連時需要引用。 | |
定義從雲端到本地網關裝置的加密隧道參數,包括密碼編譯演算法、認證演算法、預先共用金鑰(PSK)等。 | |
本機資料中心中支援IPsec VPN的物理裝置或軟體(如strongSwan、Cisco、H3C等),負責與雲端協商建立隧道。 |
為方便描述,本文檔將企業本機資料中心、企業辦公網路等需要與阿里雲建立IPsec-VPN串連的網路統稱為本機資料中心。
雙隧道模式
每個IPsec串連預設包含兩條加密隧道。在支援多可用性區域的地區,兩條隧道部署在不同可用性區域,提供可用性區域層級的容災能力。對於僅支援一個可用性區域的地區(例如華中1(武漢-本地地區)),兩條隧道會部署在同一可用性區域,不支援可用性區域層級容災,但仍具備鏈路冗餘能力。
綁定VPN網關:主備模式
兩條隧道互為主備鏈路:
正常情況下,流量僅通過主隧道傳輸
主隧道故障時,流量自動切換至備隧道
主隧道恢複後,流量自動切回
詳見綁定VPN網關。
綁定轉寄路由器:ECMP模式
兩條隧道形成等價多重路徑(ECMP)鏈路:
兩條隧道同時傳輸串流量,實現負載分擔
任一隧道故障時,流量自動收斂到另一條隧道
故障隧道恢複後,自動重新分擔流量
詳見綁定轉寄路由器。
建立IPsec-VPN串連時,請確保兩條隧道都配置為可用狀態。如果僅配置或僅使用一條隧道,將無法獲得鏈路冗餘和可用性區域容災能力,同時VPN網關不承諾SLA。
應用情境
綁定VPN網關的情境
綁定轉寄路由器的情境
情境選擇建議
兩種模式的選擇建議及詳細區別(例如密碼編譯演算法、效能規格),詳見選擇繫結模式。