全部产品
Search
文档中心

VPN网关:IPsec-VPN配置概览

更新时间:Jan 05, 2024

本文介绍如何配置IPsec-VPN,在本地数据中心IDC(Internet Data Center)与专有网络VPC(Virtual Private Cloud)之间建立安全可靠的私网连接。

选择IPsec连接绑定的资源

在配置IPsec-VPN过程中,您需要创建IPsec连接,IPsec连接支持绑定VPN网关实例和转发路由器实例。IPsec连接绑定VPN网关实例或转发路由器实例均可以在本地数据中心与VPC之间建立私网连接,但是绑定不同实例可实现的功能不完全相同,如下表所示。请依据您的应用场景,为IPsec连接选择适用的资源。

对比项

绑定VPN网关实例

绑定转发路由器实例

关联的资源

在创建IPsec连接前,您需购买VPN网关实例,VPN网关实例需关联至一个VPC上。

企业本地数据中心或企业办公网络可与VPN网关关联的VPC直接互通,也可以通过关联的VPC与其他网络互通。

在创建IPsec连接前,您无需购买VPN网关实例,也无需关联VPC,您需要使用云企业网CEN(Cloud Enterprise Network)产品,在云企业网下创建转发路由器实例,IPsec连接绑定转发路由器实例即可。

企业本地数据中心或企业办公网络可通过转发路由器实例与任意VPC互通,也可以与转发路由器实例下的其他网络直接互通。

支持的加密算法

国际标准商用密码算法

国际标准商用密码算法

IPsec-VPN连接支持的隧道模式

  • 双隧道模式

  • 单隧道模式

单隧道模式

单个IPsec连接支持的带宽规格

最大支持为1000 Mbps。

说明

部分地域的VPN网关实例带宽规格最大支持为200 Mbps。关于地域信息,请参见VPN网关实例使用限制

默认限制为1 Gbps。

支持通过其他方式扩大IPsec-VPN连接的带宽。更多信息,请参见如何扩大IPsec-VPN连接的带宽?

单个IPsec连接每秒最多支持传输的数据包数量

12万 pps(每个数据包为256字节)

12万 pps(每个数据包为256字节)

支持的网络类型

  • 公网

    表示通过互联网建立加密隧道。

  • 私网

    表示基于物理专线的私网连接建立加密隧道。

    说明

    如果您需要基于物理专线的私网连接建立加密隧道,更推荐您使用私网IPsec连接绑定转发路由器的方式。

  • 公网

    表示通过互联网建立加密隧道。

  • 私网

    表示基于物理专线的私网连接建立加密隧道。

实现高可用链路的方式

通过主备链路的方式实现链路的高可用:

通过ECMP(Equal-Cost Multipath Routing)方式实现链路的高可用(如图例ECMP链路方式所示)。

图 1. 主备链路方式(双隧道模式)主备链路方式(双隧道模式)

图 2. 主备链路方式(单隧道模式)图2

图 3. ECMP链路方式图3

IPsec连接隧道模式说明

在IPsec连接绑定VPN网关实例的场景下,IPsec-VPN连接正在从单隧道模式(原有模式)升级为双隧道模式,双隧道模式有效提高了IPsec-VPN连接的高可用性,如下图所示。对比单隧道模式(原有模式),双隧道模式下的一个IPsec-VPN连接存在两条加密隧道,互为主备链路,默认情况下流量仅通过主隧道(主隧道由系统直接指定)进行传输,在主隧道故障后,流量可以通过备隧道进行传输。

关于双隧道模式的更多信息,请参见【升级公告】IPsec-VPN连接升级为双隧道模式

双隧道和单隧道

使用限制

  • 目前,多个地域下的IPsec连接支持绑定转发路由器实例。关于支持的地域详情,请参见VPN网关功能支持的地域

  • 在IPsec连接绑定转发路由器的场景下,IPsec连接仅支持绑定企业版转发路由器实例,且IPsec-VPN连接仅支持单隧道模式。

  • 对于已经支持IPsec-VPN连接双隧道模式的地域,在您新购VPN网关实例后,默认仅能创建双隧道模式的IPsec-VPN连接,不再支持创建单隧道模式的IPsec-VPN连接。

  • 对于已经支持IPsec-VPN连接双隧道模式的地域,如果您之前已经在该地域下创建了VPN网关实例,则这些VPN网关实例默认只能创建单隧道模式的IPsec-VPN连接。您可以通过升级将IPsec-VPN连接升级为双隧道模式,升级后该VPN网关实例不再支持创建单隧道模式的IPsec-VPN连接。具体操作,请参见升级IPsec-VPN连接为双隧道模式

  • 对于不支持IPsec-VPN连接双隧道模式的地域,默认仅能创建单隧道模式的IPsec-VPN连接。

  • 目前仅以下地域和可用区支持创建双隧道模式的IPsec-VPN连接。

    单击此处查看支持的地域和可用区

    地域

    可用区

    华东1(杭州)

    K、J、I、H、G

    华东2(上海)

    K、L、M、N、B、D、E、F、G

    华东5(南京-本地地域)

    A

    华南1(深圳)

    A、E、D、F

    华南2(河源)

    A、B

    华南3(广州)

    A、B

    华北1(青岛)

    B、C

    华北2(北京)

    F、E、H、G、A、C、J、I、L、K

    华北3(张家口)

    A、B、C

    华北5(呼和浩特)

    A、B

    华北6(乌兰察布)

    A、B、C

    西南1(成都)

    A、B

    中国香港

    B、C、D

    新加坡

    A、B、C

    泰国(曼谷)

    A

    日本(东京)

    A、B、C

    韩国(首尔)

    A

    菲律宾(马尼拉)

    A

    印度尼西亚(雅加达)

    A、B、C

    马来西亚(吉隆坡)

    A、B

    印度(孟买)

    A、B

    英国(伦敦)

    A、B

    德国(法兰克福)

    A、B、C

    美国(硅谷)

    A、B

    美国(弗吉尼亚)

    A、B

环境要求

使用IPsec-VPN功能建立本地数据中心与VPC的私网连接前,请确保您的环境满足以下条件:

  • IPsec连接绑定公网网络类型的VPN网关实例或公网网络类型的IPsec连接绑定转发路由器实例时,本地数据中心的网关设备必须配置公网IP地址。

    在IPsec连接绑定公网网络类型的VPN网关实例场景下,对于支持IPsec-VPN连接双隧道模式的地域,推荐本地数据中心的网关设备配置2个公网IP地址或者本地数据中心拥有两个本地网关设备,每个本地网关设备均拥有一个公网IP地址,以建立高可用的IPsec-VPN连接。

  • 本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和VPN网关建立IPsec-VPN连接。

  • 本地数据中心和VPC间互通的网段没有重叠。

  • 您已了解VPC中所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则添加安全组规则

使用流程

在您建立IPsec-VPN的过程中,依据IPsec连接绑定的实例不同,配置流程也不同,请参见以下内容,选择适用的使用流程。

绑定VPN网关实例的使用流程

IPsec-VPN使用流程-1

配置步骤序号

配置步骤及操作文档链接

配置步骤说明

1

创建VPN网关实例

创建VPN网关实例时,开启IPsec-VPN功能。

2

创建和管理用户网关

通过创建用户网关,将本地数据中心网关设备的信息注册到阿里云上。

3

IPsec连接是VPN网关实例和本地数据中心网关设备建立连接后的加密通信通道。

说明

创建IPsec连接时,绑定资源需选择为VPN网关

4

配置本地网关设备

您需要在本地数据中心的网关设备中添加阿里云IPsec-VPN的配置,以便本地数据中心和VPN网关之间成功建立连接。

5

配置VPN网关路由

您需要在VPN网关实例中配置去往本地数据中心的路由,并将路由发布至VPC路由表以实现本地数据中心和VPC的私网连接。

6

测试连通性

登录到阿里云VPC内一台无公网IP地址的ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。

绑定转发路由器实例的使用流程

IPsec-VPN使用流程2

配置步骤序号

配置步骤及操作文档链接

配置步骤说明

1

创建云企业网实例

云企业网实例是转发路由器实例的载体,创建转发路由器实例前需要创建一个云企业网实例。

2

创建转发路由器实例

转发路由器实例是地域范围内的核心转发网元,您需要在本地数据中心所在的阿里云地域或者本地数据中心临近的阿里云地域创建转发路由器实例。

重要

创建转发路由器实例时,需为转发路由器实例配置转发路由器地址段,否则IPsec连接无法成功绑定转发路由器实例。

如果您已经创建了转发路由器实例,您可以单独为转发路由器实例添加转发路由器地址段。具体操作,请参见添加转发路由器地址段

3

创建和管理用户网关

通过创建用户网关,将本地数据中心网关设备的信息注册到阿里云上。

4

创建和管理IPsec连接(单隧道模式)

IPsec连接是阿里云和本地数据中心网关设备建立连接后的加密通信通道。

IPsec连接绑定转发路由器实例后,本地数据中心的流量可以通过IPsec连接进入转发路由器实例。

说明

创建IPsec连接时,绑定资源需选择为云企业网或者不绑定

5

配置本地网关设备

您需要在本地数据中心的网关设备中添加阿里云IPsec-VPN的配置,以便本地数据中心和阿里云之间成功建立连接。

6

配置IPsec连接路由

您需要在IPsec连接中配置去往本地数据中心的路由,并将路由发布至转发路由器实例的路由表中以实现本地数据中心和VPC的私网连接。

7

测试连通性

登录到阿里云VPC内一台无公网IP地址的ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。