IPsec VPN

最近更新时间: 2024-10-17 17:10:00

VPN连接支持IPsec VPN和SSL VPN连接,本章节介绍两种连接方式的组成。

IPsec VPN

IPsec VPN 连接有三个组成部分:VPN 网关、对端网关、VPN 通道。

VPN网关

VPN 网关是 VPC 建立 VPN 连接的出口网关,与对端网关(IDC 侧的 IPsec VPN 服务网关)配合使用,主要用于云平台 VPC 和外部 IDC 之间建立安全可靠的加密网络通信。 VPN 网关通过软件虚拟化处理,采用双机热备策略,单台故障时自动切换,不影响业务正常运行。

VPN 网关带宽上限分为8种:5M、10M、20M、50M、100M,单位为bps。

对端网关

对端网关是用来记录 IDC 端的 IPsec VPN 网关公网 IP 地址的逻辑对象(IDC 端必须有固定公网 IP),需与 VPN 网关配合使用,一个 VPN 网关可与多个对端网关建立加密的 VPN 网络通道。

VPN 通道

VPN 网关和对端网关建立后,即可建立用于 VPC 与外部 IDC 之间加密通信的 VPN 通道。该VPN通道支持 IPsec 加密协议,可满足绝大多数 VPN 连接的需求。 VPN 通道在运营商公网中运行,公网的网络阻塞、抖动会影响 VPN 网络质量。若业务对延时、抖动敏感,建议您通过专线接入 VPC,更多详情,请参见专线接入服务

建立 VPN 通道

云平台中的 VPN 通道在实现 IPsec 时,使用 IKE(Internet Key Exchange,因特网密钥交换)协议来建立会话。IKE 具有一套自我保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立 IPSec 会话。 VPN 通道的建立包括以下配置信息:

  • 基本配置
  • SPD(Security Policy Database)策略
  • IKE 配置(选填)
  • IPsec 配置(选填)

下面将详细介绍基本信息、SPD 策略、IKE 配置(选填)和 IPsec 配置(选填)。

基本配置

基本配置中主要包括VPN通道名称、所属地域、私有网络及VPN网关、对端网关等基本信息。

SPD 策略

SPD(Security Policy Database)策略由一系列 SPD 规则组成,用于指定 VPC 内哪些网段可以和 IDC 内哪些网段通信。每条 SPD 规则包括一个本端网段 CIDR,和至少一个对端网段 CIDR。一个本端网段CIDR和一个对端网段CIDR构成一组匹配关系。一个SPD规则下可以有多组匹配关系。

说明:

同一 VPN 网关下所有通道内的规则,匹配关系不能重叠,即一组的匹配关系中,本端网段和对端网段不能同时重叠。

示例: 如下图所示,某 VPN 网关下已经存在以下 SPD 规则:

  • SPD 规则1本端网段 10.0.0.0/24,对端网段为 192.168.0.0/24、192.168.1.0/24,有两组匹配关系。
  • SPD 规则2本端网段 10.0.1.0/24,对端网段为 192.168.2.0/24,有一组匹配关系。
  • SPD 规则3本端网段 10.0.2.0/24,对端网段为 192.168.2.0/24,有一组匹配关系。

他们的匹配关系分别是:

  • 10.0.0.0/24-----192.168.0.0/24
  • 10.0.0.0/24-----192.168.1.0/24
  • 10.0.1.0/24-----192.168.2.0/24
  • 10.0.2.0/24-----192.168.2.0/24

这四组匹配关系相互不能重叠,即他们的本端网段和对端网段不能同时重叠。

  • 如果新增一个10.0.0.0/24-----192.168.1.0/24匹配关系,则会因为和已有匹配关系重叠,而无法添加 SPD 规则。
  • 如果新增一个10.0.1.0/24-----192.168.1.0/24匹配关系,和已有的3个匹配关系均不重叠,则可以加入 SPD 规则。
IKE 配置
配置项 说明
版本 IKE V1
身份认证方法 默认预共享密钥
认证算法 身份认证算法,支持 MD5 和 SHA1
协商模式 支持 main(主模式)和 aggressive(野蛮模式)
二者的不同之处在于,aggressive 模式可以用更少的包发送更多信息,可以快速建立连接,但是是以清晰的方式发送安全网关的身份。使用 aggressive 模式时,配置参数如 Diffie-Hellman 和 PFS 不能进行协商,要求两端拥有兼容的配置
本端标识 支持 IP address 和 FQDN(全称域名)
对端标识 支持 IP address 和 FQDN
DH group 指定 IKE 交换密钥时使用的 DH 组,密钥交换的安全性随着 DH 组的扩大而增加,但交换的时间也增加了
  • Group1:采用 768-bit 模指数(Modular Exponential,MODP )算法的 DH 组

  • Group2:采用 1024-bit MODP 算法的 DH 组

  • Group5:采用 1536-bit MODP 算法的 DH 组

  • Group14:采用 2048-bit MODP 算法,不支持动态 VPN 实现此选项

  • Group24:带 256 位的素数阶子群的 2048-bit MODP算法 DH 组,不支持组 VPN 实现此选项
  • IKE SA Lifetime 单位:秒
    设置 IKE 安全提议的 SA 生存周期,在设定的生存周期超时前,会提前协商另一个 SA 来替换旧的 SA。在新的 SA 还没有协商完之前,依然使用旧的 SA;在新的 SA 建立后,将立即使用新的 SA,而旧的 SA 在生存周期超时后,被自动清除
    IPsec 配置
    配置项 说明
    加密算法 支持 3DES、AES-128、AES-192、AES-256、DES
    认证算法 支持 MD5 和 SHA1
    报文封装模式 Tunnel
    安全协议 ESP
    PFS 支持 disable、dh-group2、dh-group5和dh-group14
    IPsec SA lifetime(s) 单位:秒
    IPsec SA lifetime(KB) 单位:KB