摘要：通過(guò)服務(wù)，用戶可將本地?cái)?shù)據(jù)中心企業(yè)分支機(jī)構(gòu)與私有云平臺(tái)的私有網(wǎng)絡(luò)通過(guò)加密通道進(jìn)行連接，也可將用于不同之間的加密連接。標(biāo)準(zhǔn)建立的方式有手工配置和自動(dòng)協(xié)商兩種，私有云平臺(tái)網(wǎng)關(guān)服務(wù)使用協(xié)議來(lái)建立。本端標(biāo)識(shí)網(wǎng)關(guān)的標(biāo)識(shí)，用于第一階段協(xié)商。

4.8.1 背景

用戶在使用云平臺(tái)部署并管理應(yīng)用服務(wù)時(shí)，會(huì)有部分業(yè)務(wù)部署于 IDC 數(shù)據(jù)中心環(huán)境的內(nèi)網(wǎng)或第三方公/私有云平臺(tái)上，如 Web 服務(wù)部署于公有云平臺(tái)，應(yīng)用和數(shù)據(jù)庫(kù)等應(yīng)用部署于私有云，構(gòu)建公有云和私有云混合部署環(huán)境。

在混合云的應(yīng)用場(chǎng)景中，可以可通過(guò)專線的方式將兩端網(wǎng)絡(luò)的內(nèi)網(wǎng)直接打通，且較好的保證網(wǎng)絡(luò)可靠性和性能。但由于專線成本較高，僅適用于部分對(duì)網(wǎng)絡(luò)時(shí)延要求較高的業(yè)務(wù)，為節(jié)省成本并與第三方平臺(tái)建立點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)通信，云平臺(tái)提供 VPN 網(wǎng)關(guān)-IPsecVPN 連接的服務(wù)能力，允許平臺(tái)側(cè) VPC 子網(wǎng)的資源直接與第三方平臺(tái)內(nèi)網(wǎng)的主機(jī)進(jìn)行通信，同時(shí)也可為平臺(tái)不同 VPC 網(wǎng)絡(luò)間提供連接服務(wù)。

4.8.2 產(chǎn)品概述

IPsec VPN 是一種采用 IPsec 協(xié)議加密的隧道技術(shù)，由 Internet Engineering Task Force（IETF）定義的安全標(biāo)準(zhǔn)框架，在互聯(lián)網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供安全通道，通過(guò)加密保證連接的安全。有關(guān) IPsec 可參考 RFC2409 （IKE—Internet Key Exchange 因特網(wǎng)密鑰交換協(xié)議）和 RFC4301 （IPsec 架構(gòu)）。

云平臺(tái) IPsecVPN 服務(wù)是基于 Internet 的網(wǎng)絡(luò)連接服務(wù)，采用 IPsec（Internet Protocol Security）安全加密通道實(shí)現(xiàn)企業(yè)數(shù)據(jù)中心、辦公網(wǎng)絡(luò)與平臺(tái) VPC 私有網(wǎng)絡(luò)的安全可靠連接，同時(shí)也可使用 VPN 網(wǎng)關(guān)在 VPC 之間建立加密內(nèi)網(wǎng)連接。網(wǎng)關(guān)服務(wù)為可容災(zāi)的高可用架構(gòu)，同時(shí)支持用戶選擇多種加密及認(rèn)證算法，并提供 VPN 連接健康檢測(cè)及連接日志，保證隧道連接的可靠性、安全性及管理便捷性。

通過(guò) IPsecVPN 服務(wù)，用戶可將本地?cái)?shù)據(jù)中心、企業(yè)分支機(jī)構(gòu)與私有云平臺(tái)的 VPC 私有網(wǎng)絡(luò)通過(guò)加密通道進(jìn)行連接，也可將用于不同 VPC 之間的加密連接。對(duì)端設(shè)備或系統(tǒng)僅需支持 IPsec 的 IKEv1 或 IKEv2 ，即可通過(guò)配置與平臺(tái)的 VPN 網(wǎng)關(guān)進(jìn)行互連，如通用網(wǎng)絡(luò)設(shè)備或配置 IPsecVPN 的服務(wù)器。

4.8.3 邏輯架構(gòu)

VPN 網(wǎng)關(guān) IPsecVPN 服務(wù)由 VPN 網(wǎng)關(guān)、對(duì)端網(wǎng)關(guān)及 VPN 隧道連接三部分組成。

• VPN 網(wǎng)關(guān)平臺(tái)側(cè) VPC 網(wǎng)絡(luò)建立 IPsecVPN 連接的出口網(wǎng)關(guān)，通過(guò)關(guān)聯(lián) VPC 和外網(wǎng) IP 與對(duì)端網(wǎng)關(guān)的 IPsecVPN 進(jìn)行連接，用于平臺(tái)私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（如 IDC、公有云、私有云）之間建立安全可靠的加密網(wǎng)絡(luò)通信。
• 對(duì)端網(wǎng)關(guān)運(yùn)行于外部網(wǎng)絡(luò)端 IPsecVPN 網(wǎng)關(guān)的公網(wǎng) IP 地址，即與私有云平臺(tái) VPN 網(wǎng)關(guān)進(jìn)行隧道連接的網(wǎng)關(guān) IP 地址，支持 NAT 轉(zhuǎn)發(fā)的網(wǎng)關(guān)地址。
• VPN 隧道連接 VPN 網(wǎng)關(guān)和對(duì)端網(wǎng)關(guān)的加密隧道，結(jié)合相應(yīng)的加密認(rèn)證算法及策略，為平臺(tái) VPC 私有網(wǎng)絡(luò)和外部私有網(wǎng)絡(luò)建立加密通信的隧道連接。

一個(gè) VPN 網(wǎng)關(guān)有且必須關(guān)聯(lián) 1 個(gè) VPC 網(wǎng)絡(luò)和 1 個(gè)外網(wǎng) IP 地址，與對(duì)端網(wǎng)關(guān)相對(duì)應(yīng)，通過(guò) VPN 隧道進(jìn)行連接。IPsecVPN 支持點(diǎn)到多點(diǎn)的連接特性，使得 VPN 網(wǎng)關(guān)與對(duì)端網(wǎng)關(guān)可以為一對(duì)一或一對(duì)多的連接關(guān)系，即一個(gè) VPN 網(wǎng)關(guān)可以同時(shí)與多個(gè)對(duì)端網(wǎng)關(guān)建立隧道。VPN 隧道支持平臺(tái)多個(gè) VPC 子網(wǎng)與對(duì)端網(wǎng)絡(luò)的多個(gè)網(wǎng)段通過(guò)隧道進(jìn)行加密通信，平臺(tái) VPC 子網(wǎng)的網(wǎng)段與對(duì)端網(wǎng)絡(luò)的網(wǎng)絡(luò)不可重疊（本端與對(duì)端子網(wǎng)重疊會(huì)影響網(wǎng)絡(luò)的正常通信）。

如上圖案例所示，在云平臺(tái)中的 VPC 網(wǎng)絡(luò)已擁有 2 個(gè)子網(wǎng)，分別為 subnet1（192.168.1.0/24）和 subnet2（192.168.2.0/24）。在遠(yuǎn)端 IDC 數(shù)據(jù)中心下有 2 個(gè)內(nèi)網(wǎng)網(wǎng)段，分別為 subnet3（192.168.3.0/24）和 subnet4（192.168.4.0/24）。

• 私有云平臺(tái) VPN 網(wǎng)關(guān)綁定 VPC 子網(wǎng)，并使用外網(wǎng) IP 地址作為網(wǎng)絡(luò)出口及遠(yuǎn)端數(shù)據(jù)中心的對(duì)端網(wǎng)關(guān)。
• 遠(yuǎn)端數(shù)據(jù)中心的平臺(tái)的網(wǎng)關(guān)綁定數(shù)據(jù)中心子網(wǎng)，并使用另一個(gè)公網(wǎng) IP 地址作為網(wǎng)絡(luò)出口及私有云平臺(tái)的的對(duì)端網(wǎng)關(guān)。
• 兩端 VPN 網(wǎng)關(guān)分別建立 IPsecVPN 隧道，使用相同的預(yù)共享密鑰及加密認(rèn)證策略，經(jīng)過(guò)第一階段的 IKE 認(rèn)證及第二階段的 IPsec 認(rèn)證，建立 VPN 連接通道。
• 兩端網(wǎng)絡(luò)的子網(wǎng)分別通過(guò) VPN 隧道與對(duì)端網(wǎng)絡(luò)的子網(wǎng)進(jìn)行通信，打通跨數(shù)據(jù)中心、跨云平臺(tái)的內(nèi)網(wǎng)，構(gòu)建混合云環(huán)境。

IPsecVPN 通道在 Internet 網(wǎng)絡(luò)中構(gòu)建并運(yùn)行，公網(wǎng)的帶寬、網(wǎng)絡(luò)阻塞、網(wǎng)絡(luò)抖動(dòng)會(huì)直接影響 VPN 網(wǎng)絡(luò)通信的質(zhì)量。

4.8.4 VPN 隧道建立

在建立 IPsecVPN 安全通道時(shí)，需要先在兩個(gè)網(wǎng)關(guān)間建立 SA（Security Association 安全聯(lián)盟）。SA 是 IPsec 的基礎(chǔ)，是通信網(wǎng)關(guān)間對(duì)連接條件的約定，如網(wǎng)絡(luò)認(rèn)證協(xié)議（AH、ESP）、協(xié)議封裝模式、加密算法（DES、3DES 和 AES）、認(rèn)證算法、協(xié)商模式（主模式和野蠻模式）、共享密鑰及密鑰生存周期等。SA 安全聯(lián)盟的建立需要在兩端網(wǎng)關(guān)上均約定并配置相同的條件，以確保 SA 可以對(duì)兩端網(wǎng)關(guān)進(jìn)行雙向數(shù)據(jù)流通信保護(hù)。

標(biāo)準(zhǔn) IPsecVPN 建立 SA 的方式有手工配置和 IKE 自動(dòng)協(xié)商兩種，私有云平臺(tái) VPN 網(wǎng)關(guān)服務(wù)使用 IKE 協(xié)議來(lái)建立 SA 。IKE 協(xié)議建立在由 ISAKMP（Internet Security Association and Key Management Protocol，互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議）定義的框架上，具有一套自保護(hù)機(jī)制，可在不安全的網(wǎng)絡(luò)上安全地認(rèn)證身份、交換及密鑰分發(fā)，為 IPsec 提供自動(dòng)協(xié)商交換密鑰并建立 SA 服務(wù)。

• 身份認(rèn)證：支持預(yù)共享密鑰（pre-shared-key）認(rèn)證，確認(rèn)通信兩端的身份，并在密鑰產(chǎn)生之后對(duì)身份數(shù)據(jù)進(jìn)行加密傳送，實(shí)現(xiàn)對(duì)身份數(shù)據(jù)的安全保護(hù)。
• 交換及密鑰分發(fā)：DH（Diffie-Hellman，交換及密鑰分發(fā)）算法是一種公共密鑰算法，通信兩端在不傳輸密鑰的情況下通過(guò)交換一些數(shù)據(jù)，計(jì)算出共享的密鑰。

IKE 通過(guò)兩個(gè)階段為 IPsec 進(jìn)行密鑰協(xié)商并建立 SA ：

1. 第一階段：通信兩端彼此間建立一個(gè)已通過(guò)身份認(rèn)證和安全保護(hù)的通道，即建立一個(gè) IKE SA ，作用是為兩端之間彼此驗(yàn)證身份，并協(xié)商出 IKE SA ，保護(hù)第二階段中 IPsec SA 協(xié)商過(guò)程。支持 IKE V1 和 V2 版本，其中 V1 版本支持主模式（Main Mode）和野蠻模式（Aggressive Mode）兩種 IKE 交換方法。
2. 第二階段：用第一階段建立的 IKE SA 為 IPsec 協(xié)商安全服務(wù)，即為 IPsec 協(xié)商具體的 SA ，建立用于最終的 IP 數(shù)據(jù)安全傳輸?shù)?IPsec SA 。

IKE 為 IPsec 協(xié)商建立 SA，并將建立的參數(shù)及生成的密鑰交給 IPsec ，IPsec 使用 IKE 協(xié)議建立的 SA 對(duì)最終 IP 報(bào)文加密或認(rèn)證處理。通過(guò) IKE 協(xié)議可為 IPsecVPN 提供端與端之間的動(dòng)態(tài)認(rèn)證及密鑰分發(fā)，通過(guò)自動(dòng)建立 IPsec 參數(shù)，降低手工配置參數(shù)的復(fù)雜度；同時(shí)由于 IKE 協(xié)議中每次 SA 的建立均需運(yùn)行 DH 交換過(guò)程，可有效保證每個(gè) SA 所使用密鑰的互不相關(guān)，增加 VPN 通道的安全性。

VPN 隧道成功建立連接后，將自動(dòng)為所屬 VPC 關(guān)聯(lián)的本端子網(wǎng)下發(fā)到對(duì)端子網(wǎng)的路由，使本端子網(wǎng)訪問(wèn)遠(yuǎn)端私有網(wǎng)絡(luò)的請(qǐng)求通過(guò) VPN 網(wǎng)關(guān)及隧道進(jìn)行轉(zhuǎn)發(fā)，完成整個(gè)鏈路的打通。

4.8.5 VPN 隧道參數(shù)

IPsecVPN 隧道 SA 協(xié)商建立需要配置相應(yīng)的參數(shù)信息，包括隧道的基本信息、預(yù)共享密鑰、IKE 策略及 IPsec 策略配置信息。兩端的 VPN 在建立的過(guò)程中，需保證預(yù)共享密鑰、IKE 策略及 IPsec 策略配置一致，IKE 策略指定 IPSec 隧道在協(xié)商階段的加密和認(rèn)證算法，IPSec 策略指定 IPSec 在數(shù)據(jù)傳輸階段所使用的協(xié)議及加密認(rèn)證算法。具體參數(shù)信息如下表所示：

（1）基本信息

• 名稱/備注：VPN 隧道連接的名稱和備注。
• VPN 網(wǎng)關(guān)：VPN 隧道掛載的 VPN 網(wǎng)關(guān)，即隧道運(yùn)行在云平臺(tái)端的所屬 VPN 網(wǎng)關(guān)。
• 對(duì)端網(wǎng)關(guān)：VPN 隧道掛載的對(duì)端網(wǎng)關(guān)，即對(duì)端網(wǎng)關(guān)的互聯(lián)網(wǎng)出口 IP 地址，如 IDC 數(shù)據(jù)中心的 VPN 網(wǎng)關(guān)。
• 本端網(wǎng)段：VPN 網(wǎng)關(guān)所在 VPC 網(wǎng)絡(luò)內(nèi)需要和對(duì)端網(wǎng)絡(luò)（如 IDC 數(shù)據(jù)中心）互通的子網(wǎng)，如 192.168.1.0/24 。本端網(wǎng)段用于第二階段協(xié)商，不可與對(duì)端網(wǎng)段重疊。
• 對(duì)端網(wǎng)段：IDC 數(shù)據(jù)中心或第三方云平臺(tái)中需要與本端網(wǎng)段 VPN 通信的子網(wǎng)，如 192.168.2.0/24 。對(duì)端網(wǎng)段用于第二階段協(xié)商，不可與本端網(wǎng)段重疊。

（2）預(yù)共享密鑰

• Pre Shared Key ：IPsecVPN 連接的秘鑰，用于 VPN 連接的協(xié)商，在 VPN 連接協(xié)商過(guò)程中，需保證本端與對(duì)端的密鑰一致。

（3）IKE 策略

• 版本：IKE 密鑰交換協(xié)議的版本，支持 V1 和 V2 。V2 版對(duì) SA 的協(xié)商過(guò)程進(jìn)行簡(jiǎn)化且更加適應(yīng)多網(wǎng)段場(chǎng)景，推薦選擇 V2 版本。
• 認(rèn)證算法：為 IKE 協(xié)商過(guò)程中的報(bào)文提供認(rèn)證，支持 md5、sha1 和 sha2-256 三種認(rèn)證算法。
• 加密算法：為 IKE 協(xié)商過(guò)程中的報(bào)文提供加密保護(hù)，支持 3des、aes128、aes192、aes256 四種加密算法。
• 協(xié)商模式：IKE v1 的協(xié)商模式，支持主模式（main）和野蠻模式（aggressive）。主模式在 IKE 協(xié)商時(shí)需經(jīng)過(guò) SA 交換、密鑰交換、身份驗(yàn)證三個(gè)雙向交換階段（6 個(gè)消息），而野蠻模式僅需要經(jīng)過(guò) SA 生成/密鑰交換和身份驗(yàn)證兩次交換階段 （3 個(gè)消息）。由于野蠻模式密鑰交換與身份認(rèn)證一起進(jìn)行無(wú)法提供身份保護(hù)，因此主模式的協(xié)商過(guò)程安全性更高，協(xié)商成功后信息傳輸安全性一致。主模式適用于兩端設(shè)備的公網(wǎng) IP 固定的場(chǎng)景，野蠻模式適用于需要 NAT 穿越及 IP 地址不固定的場(chǎng)景。
• DH 組：指定 IKE 交換密鑰時(shí)使用的 Diffie-Hellman 算法，密鑰交換的安全性及交換時(shí)間隨 DH 組的擴(kuò)大而增加，支持 1、2、5、14、24 。1：采用 768-bit 模指數(shù)（Modular Exponential，MODP ）算法的 DH 組。2：采用 1024-bit MODP 算法的 DH 組。5：采用 1536-bit MODP 算法的 DH 組。14：采用 2048-bit MODP 算法的 DH 組。24：帶 256 位的素?cái)?shù)階子群的 2048-bit MODP算法 DH 組。
• 本端標(biāo)識(shí)：VPN 網(wǎng)關(guān)的標(biāo)識(shí)，用于 IKE 第一階段協(xié)商。支持 IP 地址和 FQDN（全稱域名）。
• 對(duì)端標(biāo)識(shí)：對(duì)端網(wǎng)關(guān)的標(biāo)識(shí)，用于 IKE 第一階段協(xié)商。支持 IP 地址和 FQDN（全稱域名）
• 生存周期：第一階段 SA 的生存時(shí)間，在超過(guò)生存周期后， SA 將被重新協(xié)商，如 86400 秒。

（4）IPSec 策略

• 安全傳輸協(xié)議：IPSec 支持 AH 和 ESP 兩種安全協(xié)議，AH 只支持?jǐn)?shù)據(jù)的認(rèn)證保護(hù)，ESP 支持認(rèn)證和加密，推薦使用 ESP 協(xié)議。
• IPSec 認(rèn)證算法：為第二階段用戶數(shù)據(jù)提供的認(rèn)證保護(hù)功能，支持 md5 和 sha1 兩種認(rèn)證算法。
• IPSec 加密算法：為第二階段用戶數(shù)據(jù)提供的加密保護(hù)功能，支持 3des、aes128、aes192 和 aes256 四種加密算法 ，使用 AH 安全協(xié)議時(shí)不可用。
• PFS DH 組：PFS （Perfect Forward Secrecy，完善的前向安全性）特性是一種安全特性，指一個(gè)密鑰被破解，并不影響其他密鑰的安全性。PFS 特性為第二階段協(xié)商的 Diffie-Hellman密鑰交換算法，支持的 DH 組為支持 1、2、5、14、24 與關(guān)閉（Disable），Disable 適用于不支持 PFS 的客戶端 。
• 生存周期：第二階段 SA 的生存時(shí)間，在超過(guò)生存周期后， SA 將被重新協(xié)商，如 86400 秒。

4.8.6 應(yīng)用場(chǎng)景

VPN 網(wǎng)關(guān) IPsecVPN 服務(wù)是基于 Internet 的網(wǎng)絡(luò)連接服務(wù)，通過(guò) IPsec 安全加密通道實(shí)現(xiàn)企業(yè)數(shù)據(jù)中心、辦公網(wǎng)絡(luò)與平臺(tái) VPC 私有網(wǎng)絡(luò)的安全可靠連接，同時(shí)用戶也可使用 VPN 網(wǎng)關(guān)在 VPC 之間建立加密內(nèi)網(wǎng)連接。網(wǎng)關(guān)服務(wù)為可容災(zāi)的高可用架構(gòu)，同時(shí)支持用戶選擇多種加密及認(rèn)證算法，并提供 VPN 連接健康檢測(cè)及連接日志，可滿足不同的應(yīng)用場(chǎng)景。

• VPC 到本地?cái)?shù)據(jù)中心的連接：通過(guò) IPsecVPN 服務(wù)將本地?cái)?shù)據(jù)中心的內(nèi)網(wǎng)主機(jī)和 VPC 網(wǎng)絡(luò)的虛擬資源進(jìn)行連接，構(gòu)建混合云服務(wù)模式。
• VPC 到公有云 VPC 的連接：通過(guò) IPsecVPN 服務(wù)將第三方公有云 VPC 私有網(wǎng)絡(luò)和私有云 VPC 網(wǎng)絡(luò)的虛擬資源進(jìn)行連接，構(gòu)建多云混合服務(wù)模式。
• VPC 到第三方私有云內(nèi)網(wǎng)的連接：通過(guò) IPsecVPN 服務(wù)將第三方私有云的 VPC 私有網(wǎng)絡(luò)和 UCloudStack VPC 網(wǎng)絡(luò)的虛擬資源進(jìn)行連接，構(gòu)建多云混合服務(wù)模式。
• VPC 到 VPC 的連接：通過(guò) IPsecVPN 服務(wù)將 VPC 與的另一個(gè) VPC 網(wǎng)絡(luò)進(jìn)行連接，實(shí)現(xiàn) VPC 打通的場(chǎng)景。