IPsec VPN

VPN连接支持IPsec VPN和SSL VPN连接，本章节介绍两种连接方式的组成。

IPsec VPN

IPsec VPN 连接有三个组成部分：VPN 网关、对端网关、VPN 通道。

VPN网关

VPN 网关是 VPC 建立 VPN 连接的出口网关，与对端网关（IDC 侧的 IPsec VPN 服务网关）配合使用，主要用于云平台 VPC 和外部 IDC 之间建立安全可靠的加密网络通信。 VPN 网关通过软件虚拟化处理，采用双机热备策略，单台故障时自动切换，不影响业务正常运行。

VPN 网关带宽上限分为8种：5M、10M、20M、50M、100M，单位为bps。

对端网关

对端网关是用来记录 IDC 端的 IPsec VPN 网关公网 IP 地址的逻辑对象（IDC 端必须有固定公网 IP），需与 VPN 网关配合使用，一个 VPN 网关可与多个对端网关建立加密的 VPN 网络通道。

VPN 通道

VPN 网关和对端网关建立后，即可建立用于 VPC 与外部 IDC 之间加密通信的 VPN 通道。该VPN通道支持 IPsec 加密协议，可满足绝大多数 VPN 连接的需求。 VPN 通道在运营商公网中运行，公网的网络阻塞、抖动会影响 VPN 网络质量。若业务对延时、抖动敏感，建议您通过专线接入 VPC，更多详情，请参见专线接入服务。

建立 VPN 通道

云平台中的 VPN 通道在实现 IPsec 时，使用 IKE（Internet Key Exchange，因特网密钥交换）协议来建立会话。IKE 具有一套自我保护机制，可以在不安全的网络上安全地认证身份、分发密钥、建立 IPSec 会话。 VPN 通道的建立包括以下配置信息：

• 基本配置
• SPD（Security Policy Database）策略
• IKE 配置（选填）
• IPsec 配置（选填）

下面将详细介绍基本信息、SPD 策略、IKE 配置（选填）和 IPsec 配置（选填）。

基本配置

基本配置中主要包括VPN通道名称、所属地域、私有网络及VPN网关、对端网关等基本信息。

SPD 策略

SPD（Security Policy Database）策略由一系列 SPD 规则组成，用于指定 VPC 内哪些网段可以和 IDC 内哪些网段通信。每条 SPD 规则包括一个本端网段 CIDR，和至少一个对端网段 CIDR。一个本端网段CIDR和一个对端网段CIDR构成一组匹配关系。一个SPD规则下可以有多组匹配关系。

说明：

同一 VPN 网关下所有通道内的规则，匹配关系不能重叠，即一组的匹配关系中，本端网段和对端网段不能同时重叠。

示例： 如下图所示，某 VPN 网关下已经存在以下 SPD 规则：

• SPD 规则1本端网段 10.0.0.0/24，对端网段为 192.168.0.0/24、192.168.1.0/24，有两组匹配关系。
• SPD 规则2本端网段 10.0.1.0/24，对端网段为 192.168.2.0/24，有一组匹配关系。
• SPD 规则3本端网段 10.0.2.0/24，对端网段为 192.168.2.0/24，有一组匹配关系。

他们的匹配关系分别是：

• 10.0.0.0/24-----192.168.0.0/24
• 10.0.0.0/24-----192.168.1.0/24
• 10.0.1.0/24-----192.168.2.0/24
• 10.0.2.0/24-----192.168.2.0/24

这四组匹配关系相互不能重叠，即他们的本端网段和对端网段不能同时重叠。

• 如果新增一个10.0.0.0/24-----192.168.1.0/24匹配关系，则会因为和已有匹配关系重叠，而无法添加 SPD 规则。
• 如果新增一个10.0.1.0/24-----192.168.1.0/24匹配关系，和已有的3个匹配关系均不重叠，则可以加入 SPD 规则。

IKE 配置

IPsec 配置