摘要：通過服務(wù)，用戶可將本地數(shù)據(jù)中心企業(yè)分支機(jī)構(gòu)與私有云平臺的私有網(wǎng)絡(luò)通過加密通道進(jìn)行連接，也可將用于不同之間的加密連接。標(biāo)準(zhǔn)建立的方式有手工配置和自動協(xié)商兩種，私有云平臺網(wǎng)關(guān)服務(wù)使用協(xié)議來建立。本端標(biāo)識網(wǎng)關(guān)的標(biāo)識，用于第一階段協(xié)商。

4.8.1 背景

用戶在使用云平臺部署并管理應(yīng)用服務(wù)時，會有部分業(yè)務(wù)部署于 IDC 數(shù)據(jù)中心環(huán)境的內(nèi)網(wǎng)或第三方公/私有云平臺上，如 Web 服務(wù)部署于公有云平臺，應(yīng)用和數(shù)據(jù)庫等應(yīng)用部署于私有云，構(gòu)建公有云和私有云混合部署環(huán)境。

在混合云的應(yīng)用場景中，可以可通過專線的方式將兩端網(wǎng)絡(luò)的內(nèi)網(wǎng)直接打通，且較好的保證網(wǎng)絡(luò)可靠性和性能。但由于專線成本較高，僅適用于部分對網(wǎng)絡(luò)時延要求較高的業(yè)務(wù)，為節(jié)省成本并與第三方平臺建立點(diǎn)對點(diǎn)的網(wǎng)絡(luò)通信，云平臺提供 VPN 網(wǎng)關(guān)-IPsecVPN 連接的服務(wù)能力，允許平臺側(cè) VPC 子網(wǎng)的資源直接與第三方平臺內(nèi)網(wǎng)的主機(jī)進(jìn)行通信，同時也可為平臺不同 VPC 網(wǎng)絡(luò)間提供連接服務(wù)。

4.8.2 產(chǎn)品概述

IPsec VPN 是一種采用 IPsec 協(xié)議加密的隧道技術(shù)，由 Internet Engineering Task Force（IETF）定義的安全標(biāo)準(zhǔn)框架，在互聯(lián)網(wǎng)上為兩個私有網(wǎng)絡(luò)提供安全通道，通過加密保證連接的安全。有關(guān) IPsec 可參考 RFC2409 （IKE—Internet Key Exchange 因特網(wǎng)密鑰交換協(xié)議）和 RFC4301 （IPsec 架構(gòu)）。

云平臺 IPsecVPN 服務(wù)是基于 Internet 的網(wǎng)絡(luò)連接服務(wù)，采用 IPsec（Internet Protocol Security）安全加密通道實(shí)現(xiàn)企業(yè)數(shù)據(jù)中心、辦公網(wǎng)絡(luò)與平臺 VPC 私有網(wǎng)絡(luò)的安全可靠連接，同時也可使用 VPN 網(wǎng)關(guān)在 VPC 之間建立加密內(nèi)網(wǎng)連接。網(wǎng)關(guān)服務(wù)為可容災(zāi)的高可用架構(gòu)，同時支持用戶選擇多種加密及認(rèn)證算法，并提供 VPN 連接健康檢測及連接日志，保證隧道連接的可靠性、安全性及管理便捷性。

通過 IPsecVPN 服務(wù)，用戶可將本地數(shù)據(jù)中心、企業(yè)分支機(jī)構(gòu)與私有云平臺的 VPC 私有網(wǎng)絡(luò)通過加密通道進(jìn)行連接，也可將用于不同 VPC 之間的加密連接。對端設(shè)備或系統(tǒng)僅需支持 IPsec 的 IKEv1 或 IKEv2 ，即可通過配置與平臺的 VPN 網(wǎng)關(guān)進(jìn)行互連，如通用網(wǎng)絡(luò)設(shè)備或配置 IPsecVPN 的服務(wù)器。

4.8.3 邏輯架構(gòu)

VPN 網(wǎng)關(guān) IPsecVPN 服務(wù)由 VPN 網(wǎng)關(guān)、對端網(wǎng)關(guān)及 VPN 隧道連接三部分組成。

• VPN 網(wǎng)關(guān)平臺側(cè) VPC 網(wǎng)絡(luò)建立 IPsecVPN 連接的出口網(wǎng)關(guān)，通過關(guān)聯(lián) VPC 和外網(wǎng) IP 與對端網(wǎng)關(guān)的 IPsecVPN 進(jìn)行連接，用于平臺私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)（如 IDC、公有云、私有云）之間建立安全可靠的加密網(wǎng)絡(luò)通信。
• 對端網(wǎng)關(guān)運(yùn)行于外部網(wǎng)絡(luò)端 IPsecVPN 網(wǎng)關(guān)的公網(wǎng) IP 地址，即與私有云平臺 VPN 網(wǎng)關(guān)進(jìn)行隧道連接的網(wǎng)關(guān) IP 地址，支持 NAT 轉(zhuǎn)發(fā)的網(wǎng)關(guān)地址。
• VPN 隧道連接 VPN 網(wǎng)關(guān)和對端網(wǎng)關(guān)的加密隧道，結(jié)合相應(yīng)的加密認(rèn)證算法及策略，為平臺 VPC 私有網(wǎng)絡(luò)和外部私有網(wǎng)絡(luò)建立加密通信的隧道連接。

一個 VPN 網(wǎng)關(guān)有且必須關(guān)聯(lián) 1 個 VPC 網(wǎng)絡(luò)和 1 個外網(wǎng) IP 地址，與對端網(wǎng)關(guān)相對應(yīng)，通過 VPN 隧道進(jìn)行連接。IPsecVPN 支持點(diǎn)到多點(diǎn)的連接特性，使得 VPN 網(wǎng)關(guān)與對端網(wǎng)關(guān)可以為一對一或一對多的連接關(guān)系，即一個 VPN 網(wǎng)關(guān)可以同時與多個對端網(wǎng)關(guān)建立隧道。VPN 隧道支持平臺多個 VPC 子網(wǎng)與對端網(wǎng)絡(luò)的多個網(wǎng)段通過隧道進(jìn)行加密通信，平臺 VPC 子網(wǎng)的網(wǎng)段與對端網(wǎng)絡(luò)的網(wǎng)絡(luò)不可重疊（本端與對端子網(wǎng)重疊會影響網(wǎng)絡(luò)的正常通信）。

如上圖案例所示，在云平臺中的 VPC 網(wǎng)絡(luò)已擁有 2 個子網(wǎng)，分別為 subnet1（192.168.1.0/24）和 subnet2（192.168.2.0/24）。在遠(yuǎn)端 IDC 數(shù)據(jù)中心下有 2 個內(nèi)網(wǎng)網(wǎng)段，分別為 subnet3（192.168.3.0/24）和 subnet4（192.168.4.0/24）。

• 私有云平臺 VPN 網(wǎng)關(guān)綁定 VPC 子網(wǎng)，并使用外網(wǎng) IP 地址作為網(wǎng)絡(luò)出口及遠(yuǎn)端數(shù)據(jù)中心的對端網(wǎng)關(guān)。
• 遠(yuǎn)端數(shù)據(jù)中心的平臺的網(wǎng)關(guān)綁定數(shù)據(jù)中心子網(wǎng)，并使用另一個公網(wǎng) IP 地址作為網(wǎng)絡(luò)出口及私有云平臺的的對端網(wǎng)關(guān)。
• 兩端 VPN 網(wǎng)關(guān)分別建立 IPsecVPN 隧道，使用相同的預(yù)共享密鑰及加密認(rèn)證策略，經(jīng)過第一階段的 IKE 認(rèn)證及第二階段的 IPsec 認(rèn)證，建立 VPN 連接通道。
• 兩端網(wǎng)絡(luò)的子網(wǎng)分別通過 VPN 隧道與對端網(wǎng)絡(luò)的子網(wǎng)進(jìn)行通信，打通跨數(shù)據(jù)中心、跨云平臺的內(nèi)網(wǎng)，構(gòu)建混合云環(huán)境。

IPsecVPN 通道在 Internet 網(wǎng)絡(luò)中構(gòu)建并運(yùn)行，公網(wǎng)的帶寬、網(wǎng)絡(luò)阻塞、網(wǎng)絡(luò)抖動會直接影響 VPN 網(wǎng)絡(luò)通信的質(zhì)量。

4.8.4 VPN 隧道建立

在建立 IPsecVPN 安全通道時，需要先在兩個網(wǎng)關(guān)間建立 SA（Security Association 安全聯(lián)盟）。SA 是 IPsec 的基礎(chǔ)，是通信網(wǎng)關(guān)間對連接條件的約定，如網(wǎng)絡(luò)認(rèn)證協(xié)議（AH、ESP）、協(xié)議封裝模式、加密算法（DES、3DES 和 AES）、認(rèn)證算法、協(xié)商模式（主模式和野蠻模式）、共享密鑰及密鑰生存周期等。SA 安全聯(lián)盟的建立需要在兩端網(wǎng)關(guān)上均約定并配置相同的條件，以確保 SA 可以對兩端網(wǎng)關(guān)進(jìn)行雙向數(shù)據(jù)流通信保護(hù)。

標(biāo)準(zhǔn) IPsecVPN 建立 SA 的方式有手工配置和 IKE 自動協(xié)商兩種，私有云平臺 VPN 網(wǎng)關(guān)服務(wù)使用 IKE 協(xié)議來建立 SA 。IKE 協(xié)議建立在由 ISAKMP（Internet Security Association and Key Management Protocol，互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議）定義的框架上，具有一套自保護(hù)機(jī)制，可在不安全的網(wǎng)絡(luò)上安全地認(rèn)證身份、交換及密鑰分發(fā)，為 IPsec 提供自動協(xié)商交換密鑰并建立 SA 服務(wù)。

• 身份認(rèn)證：支持預(yù)共享密鑰（pre-shared-key）認(rèn)證，確認(rèn)通信兩端的身份，并在密鑰產(chǎn)生之后對身份數(shù)據(jù)進(jìn)行加密傳送，實(shí)現(xiàn)對身份數(shù)據(jù)的安全保護(hù)。
• 交換及密鑰分發(fā)：DH（Diffie-Hellman，交換及密鑰分發(fā)）算法是一種公共密鑰算法，通信兩端在不傳輸密鑰的情況下通過交換一些數(shù)據(jù)，計(jì)算出共享的密鑰。

IKE 通過兩個階段為 IPsec 進(jìn)行密鑰協(xié)商并建立 SA ：

1. 第一階段：通信兩端彼此間建立一個已通過身份認(rèn)證和安全保護(hù)的通道，即建立一個 IKE SA ，作用是為兩端之間彼此驗(yàn)證身份，并協(xié)商出 IKE SA ，保護(hù)第二階段中 IPsec SA 協(xié)商過程。支持 IKE V1 和 V2 版本，其中 V1 版本支持主模式（Main Mode）和野蠻模式（Aggressive Mode）兩種 IKE 交換方法。
2. 第二階段：用第一階段建立的 IKE SA 為 IPsec 協(xié)商安全服務(wù)，即為 IPsec 協(xié)商具體的 SA ，建立用于最終的 IP 數(shù)據(jù)安全傳輸?shù)?IPsec SA 。

IKE 為 IPsec 協(xié)商建立 SA，并將建立的參數(shù)及生成的密鑰交給 IPsec ，IPsec 使用 IKE 協(xié)議建立的 SA 對最終 IP 報文加密或認(rèn)證處理。通過 IKE 協(xié)議可為 IPsecVPN 提供端與端之間的動態(tài)認(rèn)證及密鑰分發(fā)，通過自動建立 IPsec 參數(shù)，降低手工配置參數(shù)的復(fù)雜度；同時由于 IKE 協(xié)議中每次 SA 的建立均需運(yùn)行 DH 交換過程，可有效保證每個 SA 所使用密鑰的互不相關(guān)，增加 VPN 通道的安全性。

VPN 隧道成功建立連接后，將自動為所屬 VPC 關(guān)聯(lián)的本端子網(wǎng)下發(fā)到對端子網(wǎng)的路由，使本端子網(wǎng)訪問遠(yuǎn)端私有網(wǎng)絡(luò)的請求通過 VPN 網(wǎng)關(guān)及隧道進(jìn)行轉(zhuǎn)發(fā)，完成整個鏈路的打通。

4.8.5 VPN 隧道參數(shù)

IPsecVPN 隧道 SA 協(xié)商建立需要配置相應(yīng)的參數(shù)信息，包括隧道的基本信息、預(yù)共享密鑰、IKE 策略及 IPsec 策略配置信息。兩端的 VPN 在建立的過程中，需保證預(yù)共享密鑰、IKE 策略及 IPsec 策略配置一致，IKE 策略指定 IPSec 隧道在協(xié)商階段的加密和認(rèn)證算法，IPSec 策略指定 IPSec 在數(shù)據(jù)傳輸階段所使用的協(xié)議及加密認(rèn)證算法。具體參數(shù)信息如下表所示：

（1）基本信息

• 名稱/備注：VPN 隧道連接的名稱和備注。
• VPN 網(wǎng)關(guān)：VPN 隧道掛載的 VPN 網(wǎng)關(guān)，即隧道運(yùn)行在云平臺端的所屬 VPN 網(wǎng)關(guān)。
• 對端網(wǎng)關(guān)：VPN 隧道掛載的對端網(wǎng)關(guān)，即對端網(wǎng)關(guān)的互聯(lián)網(wǎng)出口 IP 地址，如 IDC 數(shù)據(jù)中心的 VPN 網(wǎng)關(guān)。
• 本端網(wǎng)段：VPN 網(wǎng)關(guān)所在 VPC 網(wǎng)絡(luò)內(nèi)需要和對端網(wǎng)絡(luò)（如 IDC 數(shù)據(jù)中心）互通的子網(wǎng)，如 192.168.1.0/24 。本端網(wǎng)段用于第二階段協(xié)商，不可與對端網(wǎng)段重疊。
• 對端網(wǎng)段：IDC 數(shù)據(jù)中心或第三方云平臺中需要與本端網(wǎng)段 VPN 通信的子網(wǎng)，如 192.168.2.0/24 。對端網(wǎng)段用于第二階段協(xié)商，不可與本端網(wǎng)段重疊。

（2）預(yù)共享密鑰

• Pre Shared Key ：IPsecVPN 連接的秘鑰，用于 VPN 連接的協(xié)商，在 VPN 連接協(xié)商過程中，需保證本端與對端的密鑰一致。

（3）IKE 策略

• 版本：IKE 密鑰交換協(xié)議的版本，支持 V1 和 V2 。V2 版對 SA 的協(xié)商過程進(jìn)行簡化且更加適應(yīng)多網(wǎng)段場景，推薦選擇 V2 版本。
• 認(rèn)證算法：為 IKE 協(xié)商過程中的報文提供認(rèn)證，支持 md5、sha1 和 sha2-256 三種認(rèn)證算法。
• 加密算法：為 IKE 協(xié)商過程中的報文提供加密保護(hù)，支持 3des、aes128、aes192、aes256 四種加密算法。
• 協(xié)商模式：IKE v1 的協(xié)商模式，支持主模式（main）和野蠻模式（aggressive）。主模式在 IKE 協(xié)商時需經(jīng)過 SA 交換、密鑰交換、身份驗(yàn)證三個雙向交換階段（6 個消息），而野蠻模式僅需要經(jīng)過 SA 生成/密鑰交換和身份驗(yàn)證兩次交換階段 （3 個消息）。由于野蠻模式密鑰交換與身份認(rèn)證一起進(jìn)行無法提供身份保護(hù)，因此主模式的協(xié)商過程安全性更高，協(xié)商成功后信息傳輸安全性一致。主模式適用于兩端設(shè)備的公網(wǎng) IP 固定的場景，野蠻模式適用于需要 NAT 穿越及 IP 地址不固定的場景。
• DH 組：指定 IKE 交換密鑰時使用的 Diffie-Hellman 算法，密鑰交換的安全性及交換時間隨 DH 組的擴(kuò)大而增加，支持 1、2、5、14、24 。1：采用 768-bit 模指數(shù)（Modular Exponential，MODP ）算法的 DH 組。2：采用 1024-bit MODP 算法的 DH 組。5：采用 1536-bit MODP 算法的 DH 組。14：采用 2048-bit MODP 算法的 DH 組。24：帶 256 位的素數(shù)階子群的 2048-bit MODP算法 DH 組。
• 本端標(biāo)識：VPN 網(wǎng)關(guān)的標(biāo)識，用于 IKE 第一階段協(xié)商。支持 IP 地址和 FQDN（全稱域名）。
• 對端標(biāo)識：對端網(wǎng)關(guān)的標(biāo)識，用于 IKE 第一階段協(xié)商。支持 IP 地址和 FQDN（全稱域名）
• 生存周期：第一階段 SA 的生存時間，在超過生存周期后， SA 將被重新協(xié)商，如 86400 秒。

（4）IPSec 策略

• 安全傳輸協(xié)議：IPSec 支持 AH 和 ESP 兩種安全協(xié)議，AH 只支持?jǐn)?shù)據(jù)的認(rèn)證保護(hù)，ESP 支持認(rèn)證和加密，推薦使用 ESP 協(xié)議。
• IPSec 認(rèn)證算法：為第二階段用戶數(shù)據(jù)提供的認(rèn)證保護(hù)功能，支持 md5 和 sha1 兩種認(rèn)證算法。
• IPSec 加密算法：為第二階段用戶數(shù)據(jù)提供的加密保護(hù)功能，支持 3des、aes128、aes192 和 aes256 四種加密算法 ，使用 AH 安全協(xié)議時不可用。
• PFS DH 組：PFS （Perfect Forward Secrecy，完善的前向安全性）特性是一種安全特性，指一個密鑰被破解，并不影響其他密鑰的安全性。PFS 特性為第二階段協(xié)商的 Diffie-Hellman密鑰交換算法，支持的 DH 組為支持 1、2、5、14、24 與關(guān)閉（Disable），Disable 適用于不支持 PFS 的客戶端 。
• 生存周期：第二階段 SA 的生存時間，在超過生存周期后， SA 將被重新協(xié)商，如 86400 秒。

4.8.6 應(yīng)用場景

VPN 網(wǎng)關(guān) IPsecVPN 服務(wù)是基于 Internet 的網(wǎng)絡(luò)連接服務(wù)，通過 IPsec 安全加密通道實(shí)現(xiàn)企業(yè)數(shù)據(jù)中心、辦公網(wǎng)絡(luò)與平臺 VPC 私有網(wǎng)絡(luò)的安全可靠連接，同時用戶也可使用 VPN 網(wǎng)關(guān)在 VPC 之間建立加密內(nèi)網(wǎng)連接。網(wǎng)關(guān)服務(wù)為可容災(zāi)的高可用架構(gòu)，同時支持用戶選擇多種加密及認(rèn)證算法，并提供 VPN 連接健康檢測及連接日志，可滿足不同的應(yīng)用場景。

• VPC 到本地數(shù)據(jù)中心的連接：通過 IPsecVPN 服務(wù)將本地數(shù)據(jù)中心的內(nèi)網(wǎng)主機(jī)和 VPC 網(wǎng)絡(luò)的虛擬資源進(jìn)行連接，構(gòu)建混合云服務(wù)模式。
• VPC 到公有云 VPC 的連接：通過 IPsecVPN 服務(wù)將第三方公有云 VPC 私有網(wǎng)絡(luò)和私有云 VPC 網(wǎng)絡(luò)的虛擬資源進(jìn)行連接，構(gòu)建多云混合服務(wù)模式。
• VPC 到第三方私有云內(nèi)網(wǎng)的連接：通過 IPsecVPN 服務(wù)將第三方私有云的 VPC 私有網(wǎng)絡(luò)和 UCloudStack VPC 網(wǎng)絡(luò)的虛擬資源進(jìn)行連接，構(gòu)建多云混合服務(wù)模式。
• VPC 到 VPC 的連接：通過 IPsecVPN 服務(wù)將 VPC 與的另一個 VPC 網(wǎng)絡(luò)進(jìn)行連接，實(shí)現(xiàn) VPC 打通的場景。