摘要:通過服務��,用戶可將本地數(shù)據(jù)中心企業(yè)分支機構(gòu)與私有云平臺的私有網(wǎng)絡通過加密通道進行連接�,也可將用于不同之間的加密連接。標準建立的方式有手工配置和自動協(xié)商兩種�����,私有云平臺網(wǎng)關服務使用協(xié)議來建立�����。本端標識網(wǎng)關的標識����,用于第一階段協(xié)商。
用戶在使用云平臺部署并管理應用服務時�����,會有部分業(yè)務部署于 IDC 數(shù)據(jù)中心環(huán)境的內(nèi)網(wǎng)或第三方公/私有云平臺上���,如 Web 服務部署于公有云平臺����,應用和數(shù)據(jù)庫等應用部署于私有云�,構(gòu)建公有云和私有云混合部署環(huán)境。
在混合云的應用場景中���,可以可通過專線的方式將兩端網(wǎng)絡的內(nèi)網(wǎng)直接打通�,且較好的保證網(wǎng)絡可靠性和性能���。但由于專線成本較高����,僅適用于部分對網(wǎng)絡時延要求較高的業(yè)務�,為節(jié)省成本并與第三方平臺建立點對點的網(wǎng)絡通信,云平臺提供 VPN 網(wǎng)關-IPsecVPN 連接的服務能力,允許平臺側(cè) VPC 子網(wǎng)的資源直接與第三方平臺內(nèi)網(wǎng)的主機進行通信,同時也可為平臺不同 VPC 網(wǎng)絡間提供連接服務����。
IPsec VPN 是一種采用 IPsec 協(xié)議加密的隧道技術(shù)����,由 Internet Engineering Task Force(IETF)定義的安全標準框架����,在互聯(lián)網(wǎng)上為兩個私有網(wǎng)絡提供安全通道�,通過加密保證連接的安全。有關 IPsec 可參考 RFC2409 (IKE—Internet Key Exchange 因特網(wǎng)密鑰交換協(xié)議)和 RFC4301 (IPsec 架構(gòu))�����。
云平臺 IPsecVPN 服務是基于 Internet 的網(wǎng)絡連接服務��,采用 IPsec(Internet Protocol Security)安全加密通道實現(xiàn)企業(yè)數(shù)據(jù)中心�����、辦公網(wǎng)絡與平臺 VPC 私有網(wǎng)絡的安全可靠連接���,同時也可使用 VPN 網(wǎng)關在 VPC 之間建立加密內(nèi)網(wǎng)連接���。網(wǎng)關服務為可容災的高可用架構(gòu),同時支持用戶選擇多種加密及認證算法���,并提供 VPN 連接健康檢測及連接日志�,保證隧道連接的可靠性�、安全性及管理便捷性。
通過 IPsecVPN 服務���,用戶可將本地數(shù)據(jù)中心�、企業(yè)分支機構(gòu)與私有云平臺的 VPC 私有網(wǎng)絡通過加密通道進行連接�,也可將用于不同 VPC 之間的加密連接。對端設備或系統(tǒng)僅需支持 IPsec 的 IKEv1 或 IKEv2 �,即可通過配置與平臺的 VPN 網(wǎng)關進行互連,如通用網(wǎng)絡設備或配置 IPsecVPN 的服務器��。
VPN 網(wǎng)關 IPsecVPN 服務由 VPN 網(wǎng)關��、對端網(wǎng)關及 VPN 隧道連接三部分組成��。
- VPN 網(wǎng)關平臺側(cè) VPC 網(wǎng)絡建立 IPsecVPN 連接的出口網(wǎng)關�,通過關聯(lián) VPC 和外網(wǎng) IP 與對端網(wǎng)關的 IPsecVPN 進行連接,用于平臺私有網(wǎng)絡和外部網(wǎng)絡(如 IDC����、公有云�����、私有云)之間建立安全可靠的加密網(wǎng)絡通信����。
- 對端網(wǎng)關運行于外部網(wǎng)絡端 IPsecVPN 網(wǎng)關的公網(wǎng) IP 地址�����,即與私有云平臺 VPN 網(wǎng)關進行隧道連接的網(wǎng)關 IP 地址���,支持 NAT 轉(zhuǎn)發(fā)的網(wǎng)關地址�。
- VPN 隧道連接 VPN 網(wǎng)關和對端網(wǎng)關的加密隧道�����,結(jié)合相應的加密認證算法及策略�,為平臺 VPC 私有網(wǎng)絡和外部私有網(wǎng)絡建立加密通信的隧道連接。
一個 VPN 網(wǎng)關有且必須關聯(lián) 1 個 VPC 網(wǎng)絡和 1 個外網(wǎng) IP 地址�����,與對端網(wǎng)關相對應,通過 VPN 隧道進行連接�����。IPsecVPN 支持點到多點的連接特性��,使得 VPN 網(wǎng)關與對端網(wǎng)關可以為一對一或一對多的連接關系�,即一個 VPN 網(wǎng)關可以同時與多個對端網(wǎng)關建立隧道����。VPN 隧道支持平臺多個 VPC 子網(wǎng)與對端網(wǎng)絡的多個網(wǎng)段通過隧道進行加密通信,平臺 VPC 子網(wǎng)的網(wǎng)段與對端網(wǎng)絡的網(wǎng)絡不可重疊(本端與對端子網(wǎng)重疊會影響網(wǎng)絡的正常通信)�。
如上圖案例所示,在云平臺中的 VPC 網(wǎng)絡已擁有 2 個子網(wǎng)��,分別為 subnet1(192.168.1.0/24)和 subnet2(192.168.2.0/24)�����。在遠端 IDC 數(shù)據(jù)中心下有 2 個內(nèi)網(wǎng)網(wǎng)段�,分別為 subnet3(192.168.3.0/24)和 subnet4(192.168.4.0/24)。
- 私有云平臺 VPN 網(wǎng)關綁定 VPC 子網(wǎng)�,并使用外網(wǎng) IP 地址作為網(wǎng)絡出口及遠端數(shù)據(jù)中心的對端網(wǎng)關。
- 遠端數(shù)據(jù)中心的平臺的網(wǎng)關綁定數(shù)據(jù)中心子網(wǎng)���,并使用另一個公網(wǎng) IP 地址作為網(wǎng)絡出口及私有云平臺的的對端網(wǎng)關�����。
- 兩端 VPN 網(wǎng)關分別建立 IPsecVPN 隧道����,使用相同的預共享密鑰及加密認證策略,經(jīng)過第一階段的 IKE 認證及第二階段的 IPsec 認證���,建立 VPN 連接通道�����。
- 兩端網(wǎng)絡的子網(wǎng)分別通過 VPN 隧道與對端網(wǎng)絡的子網(wǎng)進行通信��,打通跨數(shù)據(jù)中心�����、跨云平臺的內(nèi)網(wǎng)�����,構(gòu)建混合云環(huán)境���。
IPsecVPN 通道在 Internet 網(wǎng)絡中構(gòu)建并運行�,公網(wǎng)的帶寬�、網(wǎng)絡阻塞、網(wǎng)絡抖動會直接影響 VPN 網(wǎng)絡通信的質(zhì)量���。
在建立 IPsecVPN 安全通道時����,需要先在兩個網(wǎng)關間建立 SA(Security Association 安全聯(lián)盟)�����。SA 是 IPsec 的基礎�����,是通信網(wǎng)關間對連接條件的約定��,如網(wǎng)絡認證協(xié)議(AH����、ESP)�、協(xié)議封裝模式、加密算法(DES、3DES 和 AES)��、認證算法�、協(xié)商模式(主模式和野蠻模式)、共享密鑰及密鑰生存周期等����。SA 安全聯(lián)盟的建立需要在兩端網(wǎng)關上均約定并配置相同的條件,以確保 SA 可以對兩端網(wǎng)關進行雙向數(shù)據(jù)流通信保護��。
標準 IPsecVPN 建立 SA 的方式有手工配置和 IKE 自動協(xié)商兩種�,私有云平臺 VPN 網(wǎng)關服務使用 IKE 協(xié)議來建立 SA 。IKE 協(xié)議建立在由 ISAKMP(Internet Security Association and Key Management Protocol���,互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議)定義的框架上���,具有一套自保護機制,可在不安全的網(wǎng)絡上安全地認證身份��、交換及密鑰分發(fā)��,為 IPsec 提供自動協(xié)商交換密鑰并建立 SA 服務��。
- 身份認證:支持預共享密鑰(pre-shared-key)認證�����,確認通信兩端的身份,并在密鑰產(chǎn)生之后對身份數(shù)據(jù)進行加密傳送����,實現(xiàn)對身份數(shù)據(jù)的安全保護。
- 交換及密鑰分發(fā):DH(Diffie-Hellman����,交換及密鑰分發(fā))算法是一種公共密鑰算法,通信兩端在不傳輸密鑰的情況下通過交換一些數(shù)據(jù)�����,計算出共享的密鑰����。
IKE 通過兩個階段為 IPsec 進行密鑰協(xié)商并建立 SA :
- 第一階段:通信兩端彼此間建立一個已通過身份認證和安全保護的通道���,即建立一個 IKE SA ��,作用是為兩端之間彼此驗證身份���,并協(xié)商出 IKE SA ��,保護第二階段中 IPsec SA 協(xié)商過程�����。支持 IKE V1 和 V2 版本�,其中 V1 版本支持主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種 IKE 交換方法����。
- 第二階段:用第一階段建立的 IKE SA 為 IPsec 協(xié)商安全服務,即為 IPsec 協(xié)商具體的 SA ����,建立用于最終的 IP 數(shù)據(jù)安全傳輸?shù)?IPsec SA 。
IKE 為 IPsec 協(xié)商建立 SA�,并將建立的參數(shù)及生成的密鑰交給 IPsec ,IPsec 使用 IKE 協(xié)議建立的 SA 對最終 IP 報文加密或認證處理����。通過 IKE 協(xié)議可為 IPsecVPN 提供端與端之間的動態(tài)認證及密鑰分發(fā),通過自動建立 IPsec 參數(shù)���,降低手工配置參數(shù)的復雜度�;同時由于 IKE 協(xié)議中每次 SA 的建立均需運行 DH 交換過程����,可有效保證每個 SA 所使用密鑰的互不相關�,增加 VPN 通道的安全性���。
VPN 隧道成功建立連接后�,將自動為所屬 VPC 關聯(lián)的本端子網(wǎng)下發(fā)到對端子網(wǎng)的路由��,使本端子網(wǎng)訪問遠端私有網(wǎng)絡的請求通過 VPN 網(wǎng)關及隧道進行轉(zhuǎn)發(fā)���,完成整個鏈路的打通����。
IPsecVPN 隧道 SA 協(xié)商建立需要配置相應的參數(shù)信息����,包括隧道的基本信息�、預共享密鑰、IKE 策略及 IPsec 策略配置信息����。兩端的 VPN 在建立的過程中,需保證預共享密鑰����、IKE 策略及 IPsec 策略配置一致�����,IKE 策略指定 IPSec 隧道在協(xié)商階段的加密和認證算法����,IPSec 策略指定 IPSec 在數(shù)據(jù)傳輸階段所使用的協(xié)議及加密認證算法����。具體參數(shù)信息如下表所示:
(1)基本信息
- 名稱/備注:VPN 隧道連接的名稱和備注。
- VPN 網(wǎng)關:VPN 隧道掛載的 VPN 網(wǎng)關�����,即隧道運行在云平臺端的所屬 VPN 網(wǎng)關���。
- 對端網(wǎng)關:VPN 隧道掛載的對端網(wǎng)關���,即對端網(wǎng)關的互聯(lián)網(wǎng)出口 IP 地址,如 IDC 數(shù)據(jù)中心的 VPN 網(wǎng)關���。
- 本端網(wǎng)段:VPN 網(wǎng)關所在 VPC 網(wǎng)絡內(nèi)需要和對端網(wǎng)絡(如 IDC 數(shù)據(jù)中心)互通的子網(wǎng)�����,如 192.168.1.0/24 �。本端網(wǎng)段用于第二階段協(xié)商,不可與對端網(wǎng)段重疊�����。
- 對端網(wǎng)段:IDC 數(shù)據(jù)中心或第三方云平臺中需要與本端網(wǎng)段 VPN 通信的子網(wǎng)���,如 192.168.2.0/24 ���。對端網(wǎng)段用于第二階段協(xié)商,不可與本端網(wǎng)段重疊��。
(2)預共享密鑰
- Pre Shared Key :IPsecVPN 連接的秘鑰��,用于 VPN 連接的協(xié)商�����,在 VPN 連接協(xié)商過程中����,需保證本端與對端的密鑰一致。
(3)IKE 策略
- 版本:IKE 密鑰交換協(xié)議的版本����,支持 V1 和 V2 。V2 版對 SA 的協(xié)商過程進行簡化且更加適應多網(wǎng)段場景���,推薦選擇 V2 版本����。
- 認證算法:為 IKE 協(xié)商過程中的報文提供認證����,支持 md5、sha1 和 sha2-256 三種認證算法�����。
- 加密算法:為 IKE 協(xié)商過程中的報文提供加密保護����,支持 3des、aes128�、aes192、aes256 四種加密算法。
- 協(xié)商模式:IKE v1 的協(xié)商模式�,支持主模式(main)和野蠻模式(aggressive)。主模式在 IKE 協(xié)商時需經(jīng)過 SA 交換����、密鑰交換、身份驗證三個雙向交換階段(6 個消息)�����,而野蠻模式僅需要經(jīng)過 SA 生成/密鑰交換和身份驗證兩次交換階段 (3 個消息)����。由于野蠻模式密鑰交換與身份認證一起進行無法提供身份保護,因此主模式的協(xié)商過程安全性更高��,協(xié)商成功后信息傳輸安全性一致�����。主模式適用于兩端設備的公網(wǎng) IP 固定的場景���,野蠻模式適用于需要 NAT 穿越及 IP 地址不固定的場景�����。
- DH 組:指定 IKE 交換密鑰時使用的 Diffie-Hellman 算法�����,密鑰交換的安全性及交換時間隨 DH 組的擴大而增加�����,支持 1����、2�����、5��、14����、24 。1:采用 768-bit 模指數(shù)(Modular Exponential��,MODP )算法的 DH 組���。2:采用 1024-bit MODP 算法的 DH 組�����。5:采用 1536-bit MODP 算法的 DH 組���。14:采用 2048-bit MODP 算法的 DH 組�。24:帶 256 位的素數(shù)階子群的 2048-bit MODP算法 DH 組����。
- 本端標識:VPN 網(wǎng)關的標識,用于 IKE 第一階段協(xié)商��。支持 IP 地址和 FQDN(全稱域名)�。
- 對端標識:對端網(wǎng)關的標識,用于 IKE 第一階段協(xié)商�。支持 IP 地址和 FQDN(全稱域名)
- 生存周期:第一階段 SA 的生存時間,在超過生存周期后�, SA 將被重新協(xié)商,如 86400 秒��。
(4)IPSec 策略
- 安全傳輸協(xié)議:IPSec 支持 AH 和 ESP 兩種安全協(xié)議����,AH 只支持數(shù)據(jù)的認證保護����,ESP 支持認證和加密����,推薦使用 ESP 協(xié)議�����。
- IPSec 認證算法:為第二階段用戶數(shù)據(jù)提供的認證保護功能�����,支持 md5 和 sha1 兩種認證算法��。
- IPSec 加密算法:為第二階段用戶數(shù)據(jù)提供的加密保護功能����,支持 3des、aes128����、aes192 和 aes256 四種加密算法 ,使用 AH 安全協(xié)議時不可用���。
- PFS DH 組:PFS (Perfect Forward Secrecy����,完善的前向安全性)特性是一種安全特性,指一個密鑰被破解���,并不影響其他密鑰的安全性�����。PFS 特性為第二階段協(xié)商的 Diffie-Hellman密鑰交換算法���,支持的 DH 組為支持 1、2��、5��、14����、24 與關閉(Disable),Disable 適用于不支持 PFS 的客戶端 ��。
- 生存周期:第二階段 SA 的生存時間��,在超過生存周期后, SA 將被重新協(xié)商���,如 86400 秒���。
VPN 網(wǎng)關 IPsecVPN 服務是基于 Internet 的網(wǎng)絡連接服務,通過 IPsec 安全加密通道實現(xiàn)企業(yè)數(shù)據(jù)中心��、辦公網(wǎng)絡與平臺 VPC 私有網(wǎng)絡的安全可靠連接���,同時用戶也可使用 VPN 網(wǎng)關在 VPC 之間建立加密內(nèi)網(wǎng)連接。網(wǎng)關服務為可容災的高可用架構(gòu)�����,同時支持用戶選擇多種加密及認證算法��,并提供 VPN 連接健康檢測及連接日志���,可滿足不同的應用場景����。
- VPC 到本地數(shù)據(jù)中心的連接:通過 IPsecVPN 服務將本地數(shù)據(jù)中心的內(nèi)網(wǎng)主機和 VPC 網(wǎng)絡的虛擬資源進行連接����,構(gòu)建混合云服務模式�����。
- VPC 到公有云 VPC 的連接:通過 IPsecVPN 服務將第三方公有云 VPC 私有網(wǎng)絡和私有云 VPC 網(wǎng)絡的虛擬資源進行連接��,構(gòu)建多云混合服務模式�����。
- VPC 到第三方私有云內(nèi)網(wǎng)的連接:通過 IPsecVPN 服務將第三方私有云的 VPC 私有網(wǎng)絡和 UCloudStack VPC 網(wǎng)絡的虛擬資源進行連接��,構(gòu)建多云混合服務模式���。
- VPC 到 VPC 的連接:通過 IPsecVPN 服務將 VPC 與的另一個 VPC 網(wǎng)絡進行連接,實現(xiàn) VPC 打通的場景��。
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/125818.html
