dongnan
总版主
总版主
  • 粉丝52
  • 发帖数2198
  • 铜币13984枚
  • 威望6066点
  • 银元155个
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 喜欢达人
  • 原创写手
阅读:160回复:0

如何使用阿里云IPSEC-VPN 建立 Site-to-Site隧道网络?

楼主#
更多 发布于:2019-06-11 16:56
目标
使用 IPsec-VPN 将本地数据中心(IDC)和阿里云专有网络(VPC)连接起来。

环境
一图胜千言

描述:aliyun-ipsect-tunnel

图片:aliyun-ipsect-tunnel.png

aliyun-ipsect-tunnel

A侧,IDC 发起方,兴趣流量 172.16.X.21
B侧,阿里云 响应方,兴趣流量 192.168.X.91

步骤
请参考“阿里云 IPsec-VPN 教程” 即可,内容非常详细,这里不在重复。

验证
按照教程创建后的 IPSEC-VPN ,观察链接状态,提示"第二阶段协商成功",表示IPSEC-VPN 链接成功,如图:

图片:ipsec-3.png


如果链接失败,请重点检查日志 关注错误关键字,也可编IPSEC配置,检查配置项目是否有错误。

图片:ipsec-4.png



相关概念
IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。 IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、 私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。

IKE(Internet Key Exchange)为IPSec提供了自动协商交换密钥、建立安全联盟的服务, 能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。

IPSec有隧道(tunnel)和传送(transport)两种工作方式。
在隧道方式中,用户的整个IP数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中;
在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。

IPSEC 应用场景
IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。
第一种,Site-to-Site(网关到网关),使用Site-to-Site网关实现内网中的多个主机之间的通信。
第二种,End-to-End (端到端),两个PC之间的通信由IPSec会话保护,即在本地封装。
第三种,End-to-Site (PC到网关),两个PC之间的通信由网关和异地PC之间的IPSec会话保护。


参考资料:
1. IPSec及IKE原理
2. IPsec 学习笔记
3. 基于StrongSwan的IPsec VPN在Ubuntu 16.04上使用证书和预共享密钥
#
欢迎关注微信公众号: 运维录
游客

返回顶部