跳转至

使用阿里云IPSEC-VPN 建立 Site-to-Site隧道网络


2019-06-11 by dongnan

目标

使用 IPsec-VPN 将本地数据中心(IDC)和阿里云专有网络(VPC)连接起来。

环境

一图胜千言

  • A侧,IDC 发起方,兴趣流量 172.16.X.21
  • B侧,阿里云 响应方,兴趣流量 192.168.X.91

步骤

具体操作请参考阿里云 IPsec-VPN 教程 即可,内容非常详细,这里不在重复。

验证

按照教程创建后的 IPSEC-VPN ,观察链接状态,提示"第二阶段协商成功",表示IPSEC-VPN 链接成功,如图:

如果链接失败,请重点检查日志 关注错误关键字,也可编IPSEC配置,检查配置项目是否有错误。

相关概念

IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。 IPSec在IP层对IP报文提供安全服务

IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、 私有性和真实性,以及如何加密数据包。 使用IPsec,数据就可以安全地在公网上传输。

IKE(Internet Key Exchange)为IPSec提供了自动协商交换密钥、建立安全联盟的服务, 能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。

IPSec有隧道(tunnel)和传送(transport)两种工作方式。

  • 在隧道方式中,用户的整个IP数据包被用来计算AH或ESP头,且被加密。AH或ESP头和加密用户数据被封装在一个新的IP数据包中。
  • 在传送方式中,只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。

应用场景

IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。

  • 场景1,Site-to-Site(网关到网关),使用Site-to-Site网关实现内网中的多个主机之间的通信。
  • 场景2,End-to-End (端到端),两个PC之间的通信由IPSec会话保护,即在本地封装。
  • 场景3,End-to-Site (PC到网关),两个PC之间的通信由网关和异地PC之间的IPSec会话保护。

参考

  1. IPSec及IKE原理
  2. IPsec 学习笔记
  3. 基于StrongSwan的IPsec VPN在Ubuntu 16.04上使用证书和预共享密钥
回到页面顶部