最近更新时间:2024.01.09 07:37:33
首次发布时间:2021.08.31 10:37:06
VPN网关是VPN连接服务的组成部分,是云上私有网络(简称VPC)中建立的出口,也是云上VPN连接服务的载体。
VPN网关具备IPsec连接能力和SSL连接能力,不同连接能力的VPN网关使用场景也不同:
IPsec VPN是指采用IPsec(Internet Protocol Security)协议,实现远程接入的一种VPN技术。IPsec VPN可通过公网,在本地数据中心与私有网络、私有网络与私有网络之间,提供临时的通信隧道,通过使用加密通道保证连接安全。
用户网关是VPN连接服务的组成部分,是您本地网关侧信息集合的抽象,您可以将本地网关信息注册到云上。
IPsec连接是指用户网关和VPN网关建立连接形成的通信隧道。只有IPsec连接建立后,用户侧和云上私有网络才能进行加密通信。
IPsec连接当前支持绑定VPN网关和中转路由器:
IKE策略指定了IPsec通信隧道,在协商阶段的加密、认证算法和协商模式。
IPsec策略指定了IPsec通信隧道,在数据传输阶段的加密、认证算法。
开启NAT穿越(NAT Traversal)功能后,在IKE协商时不会对UDP端口号进行验证,并且能够发现VPN连接隧道中NAT网关设备。
预共享密钥(Pre-Shared Key)是指配置在云上VPN连接的秘钥,用于通信双方VPN设备的IKE协商。通信双方的预共享密钥需确保一致,否则会导致IKE协商失败,无法建立通信隧道。
PFS(Perfect Forward Secrecy)即完美向前保密功能,在VPN连接中若开启PFS功能,对应的客户端也需同时开启PFS功能。开启PFS功能后,每次建立IPsec连接都会更新密钥,以确保VPN连接通信的安全性。
DPD(Dead Peer Detection)即对等体存活检测功能,开启DPD功能后IPsec发起端会发送DPD报文用来检测对端(本地IDC、其他私有网络)设备IKE进程的存活状态,如果在设定时间内未收到正确回应系统则认为对端已断线,并根据设置执行后续操作。
SSL VPN是一种基于OpenVPN架构的网络连接技术,适用于在互联网客户端与云上私有网络之间建立网络连接,实现客户端通过互联网随时随度、灵活便捷、快速安全地访问云上私有网络。
SSL服务端在SSL VPN中是用于提供SSL服务的服务模块,实现数据包的封装与解封装。
在创建SSL服务端时需指定SSL客户端需要访问的服务模块的私网网段(包括VPC子网网段、通过专线连接与VPC互通的本地IDC网段、对象存储云数据库等云服务网段等多种网段)、SSL客户端访问SSL服务端时使用的网段、加密算法(AES-128-CBC、AES-192-CBC、AES-256-CBC、不使用加密)和认证算法(SHA1、MD5、不使用加密)。
可根据SSL服务端的配置生成客户端证书,然后在SSL客户端下载安装VPN软件、加载客户端证书,并发起SSL VPN连接。
私有网络 VPC(Virtual Private Cloud)区别于传统的经典网络,是一套自定义的、能为云上资源构建隔离的、自主配置和管理的虚拟网络环境。
中转路由器(Transit Router)是一个地域级网关,可以连接云上私有网络或VPN连接,灵活地实现云上各种资源之间的私网互通与隔离,以及云上私有网络与云下数据中心的互通。您可通过中转路由器关联IPsec连接,实现本地IDC对中转路由器关联云资源(VPC、专线网关)的精准访问,具体请参见通过中转路由器和VPN连接实现不同VPC与IDC之间的独立互通。