功能特性
IPsec-VPN提供靈活的流量路由方式,并使用網(wǎng)絡(luò)密鑰交換IKE(Internet Key Exchange)和IP層協(xié)議安全結(jié)構(gòu)IPsec(Internet Protocol Security)協(xié)議對(duì)傳輸數(shù)據(jù)進(jìn)行加密,用于在本地?cái)?shù)據(jù)中心與阿里云之間建立安全、可靠的網(wǎng)絡(luò)連接。本文介紹IPsec-VPN的功能特性。
加密算法
IPsec連接綁定VPN網(wǎng)關(guān)實(shí)例時(shí),支持國際標(biāo)準(zhǔn)商用密碼算法(普通算法)和中國國產(chǎn)商用密碼算法(國密算法)。
IPsec連接綁定轉(zhuǎn)發(fā)路由器時(shí),僅支持國際標(biāo)準(zhǔn)商用密碼算法(普通算法)。
下表匯總介紹IPsec-VPN在不同加密階段支持的加密算法:
加密算法
不同加密階段支持的算法
適用場景
IKE加密
IKE認(rèn)證
IPsec加密
IPsec認(rèn)證
國際標(biāo)準(zhǔn)商用密碼算法
aes(aes128)、aes192、aes256、des、3des
sha1、md5、sha256、sha384、sha512
aes(aes128)、aes192、aes256、des、3des
sha1、md5、sha256、sha384、sha512
適用于在本地?cái)?shù)據(jù)中心與阿里云之間建立網(wǎng)絡(luò)連接。
中國國產(chǎn)商用密碼算法
sm4
sm3
sm4
sm3
適用于在僅支持中國國產(chǎn)商用密碼算法的本地?cái)?shù)據(jù)中心與阿里云之間建立網(wǎng)絡(luò)連接。
網(wǎng)絡(luò)類型
IPsec-VPN支持基于公網(wǎng)或私網(wǎng)建立網(wǎng)絡(luò)連接。
公網(wǎng)
指通過互聯(lián)網(wǎng)建立網(wǎng)絡(luò)連接。該網(wǎng)絡(luò)類型下本地?cái)?shù)據(jù)中心與阿里云均通過公網(wǎng)IP地址建立IPsec-VPN連接,實(shí)現(xiàn)網(wǎng)絡(luò)互通。
私網(wǎng)
指通過私網(wǎng)建立網(wǎng)絡(luò)連接。該網(wǎng)絡(luò)類型下本地?cái)?shù)據(jù)中心與阿里云需已實(shí)現(xiàn)私網(wǎng)互通,然后基于私網(wǎng)在本地?cái)?shù)據(jù)中心與阿里云之間建立IPsec-VPN連接,用于實(shí)現(xiàn)私網(wǎng)流量的加密通信。
如果您需要實(shí)現(xiàn)物理專線私網(wǎng)流量加密通信,更推薦您使用綁定轉(zhuǎn)發(fā)路由器的方式。
在IPsec連接綁定VPN網(wǎng)關(guān)的場景下,如果VPN網(wǎng)關(guān)為國密型,則不支持基于私網(wǎng)建立網(wǎng)絡(luò)連接。
綁定VPN網(wǎng)關(guān)
綁定轉(zhuǎn)發(fā)路由器
路由
使用IPsec-VPN時(shí),您需要為IPsec-VPN連接配置去往本地?cái)?shù)據(jù)中心的路由,配置路由后,阿里云和本地?cái)?shù)據(jù)中心之間才能通過IPsec-VPN連接實(shí)現(xiàn)流量互通。支持為IPsec-VPN連接配置靜態(tài)路由或BGP動(dòng)態(tài)路由。
IPsec連接綁定VPN網(wǎng)關(guān)場景下如何配置路由,請(qǐng)參見VPN網(wǎng)關(guān)路由配置概述。
IPsec連接綁定轉(zhuǎn)發(fā)路由器場景下如何配置路由,請(qǐng)參見配置IPsec連接路由。