使用阿里云IPSEC-VPN 建立 Site-to-Site隧道网络
2019-06-11 by dongnan
目标
使用 IPsec-VPN 将本地数据中心(IDC)和阿里云专有网络(VPC)连接起来。
环境
一图胜千言
- A侧,IDC 发起方,兴趣流量
172.16.X.21 - B侧,阿里云 响应方,兴趣流量
192.168.X.91
步骤
具体操作请参考阿里云 IPsec-VPN 教程 即可,内容非常详细,这里不在重复。
验证
按照教程创建后的 IPSEC-VPN ,观察链接状态,提示"第二阶段协商成功",表示IPSEC-VPN 链接成功,如图:
如果链接失败,请重点检查日志 关注错误关键字,也可编IPSEC配置,检查配置项目是否有错误。
相关概念
IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。
IPSec在IP层对IP报文提供安全服务。
IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、 私有性和真实性,以及如何加密数据包。 使用IPsec,数据就可以安全地在公网上传输。
IKE(Internet Key Exchange)为IPSec提供了自动协商交换密钥、建立安全联盟的服务, 能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。
IPSec有隧道(tunnel)和传送(transport)两种工作方式。
- 在隧道方式中,用户的整个IP数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中。
- 在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。
应用场景
IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。
- 场景1,Site-to-Site(网关到网关),使用Site-to-Site网关实现内网中的多个主机之间的通信。
- 场景2,End-to-End (端到端),两个PC之间的通信由IPSec会话保护,即在本地封装。
- 场景3,End-to-Site (PC到网关),两个PC之间的通信由网关和异地PC之间的IPSec会话保护。