什么是VPN

VPN（Virtual Private Network）即虚拟专用网络，是指通过建立一条安全加密的公网通信隧道，使本地传统数据中心、企业办公网络或互联网终端与虚拟专有云（VPC）之间实现互通。

本系统的VPN服务提供IPsec VPN连接和SSL VPN连接。

IPsec VPN

通过IPSec VPN，可以实现VPC和本地网络进行安全可靠地数据传输，方便用户将本地业务快速拓展到云上，实现云上云下互通。IPSec VPN由VPN网关、客户端网关、VPN连接组成。

图-1 VPC连接本地数据中心

VPN网关

VPN网关是VPC中建立的出口网关，为VPC提供了公网出口。通过VPN网关可实现VPC和用户本地网络的安全加密通信。一个VPC绑定一个VPN网关。

VPN网关需要与用户本地数据中心的客户端网关配合使用。

客户端网关

客户端网关即客户端网络的出口网关。客户端网络就是需要与VPC建立IPSec隧道连接的用户本地网络（如本地数据中心网络）。一个用户本地网络对应一个客户端网关。

VPN网关与客户端网关为一对一或一对多的关系，因此VPN支持点到点或点到多点的连接。

VPN连接

VPN连接是指在VPN网关和客户端网关之间建立的安全加密通道。目前VPN网关基于IPSec协议和IKE协议对传输数据进行加密，实现VPC与用户本地数据中心之间安全可靠地通信。

SSL VPN

可用于客户端随时随地、安全地连接VPC，满足远程办公的需求。SSL VPN部署完成后，您仅需要在客户端中加载证书并发起连接，便可通过SSL VPN功能从客户端远程访问VPC中部署的应用和服务。

图-2 VPC连接客户端和本地数据中心

相关概念

IPSec VPN

IPSec（IP Security）是IETF制定的三层隧道加密协议，通过在不同网络之间建立“通道”（通常称为IPSec隧道）来保护通信方之间传输的用户数据。作为一种传统的实现三层VPN的安全技术，IPSec为Internet上传输的数据提供了高质量的、基于密码学的安全保证。

IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括安全协议AH和ESP、密钥交换协议IKE、以及用于网络认证和加密的一些算法等。

IPsec安全机制

IPSec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。

为IPsec提供安全服务的协议为AH和ESP。AH提供认证功能，ESP既提供认证功能又提供加密功能，二者既可以单独使用，也能同时使用，增强安全性。

 ·          AH：Authentication Header，认证头

·          ESP：Encapsulating Security Payload，封装安全载荷

IPsec封装模式

IPsec支持两种封装模式：传输模式和隧道模式。

传输模式下的安全协议主要用于保护上层协议报文，通常用于保护两台主机之间的数据；隧道模式下的安全协议用于保护整个IP数据包，通常用于保护两个安全网关之间的数据。目前本系统仅支持隧道模式。

安全联盟SA

SA（Security Association，安全联盟）是IPsec的基础，也是IPsec的本质。IPsec在两个端点之间提供安全通信，这类端点被称为IPsec对等体。SA是IPsec对等体间对某些要素的约定，例如，使用的安全协议（AH、ESP或两者结合使用）、协议报文的封装模式（传输模式或隧道模式）、认证算法（HMAC-MD5、HMAC-SHA1）、加密算法（DES、3DES、AES）、特定流中保护数据的共享密钥以及密钥的生存时间等。

SA有手工配置和IKE自动协商两种生成方式，本系统支持使用IKE自动协商生成方式。

IKE

IKE（Internet Key Exchange），即互联网密钥交换。用IPsec保护一个IP数据包之前，必须先建立一个安全联盟（IPsec SA）；IKE协议为IPSec提供了自动协商交换密钥、建立SA的服务，指定IPsec隧道在协商阶段的加密和认证算法；IPsec使用IKE建立的SA对IP报文进行加密或认证处理。

IKE协商过程

IKE使用了两个阶段为IPsec进行密钥协商以及建立SA：

第一阶段，通信双方彼此间建立了一个已通过双方身份认证和对通信数据安全保护的通道，即建立一个IKE SA。第一阶段的IKE协商模式有主模式和野蛮模式。本系统仅支持主模式。

第二阶段，用第一阶段建立的IKE SA为IPsec协商安全服务，即为IPsec协商IPsec SA，建立用于最终的IP数据安全传输的IPsec SA。

IKE的安全机制

IKE可以在不安全的网络上安全地认证通信双方的身份、分发密钥以及建立IPsec SA，具有以下几种安全机制：

身份认证

IKE的身份认证机制用于确认通信双方的身份。设备支持三种认证方法：预共享密钥认证、RSA数字签名认证和DSA数字签名认证。本系统中仅支持预共享密钥认证方式。预共享密钥认证方式就是指通信双方通过共享的密钥认证对端身份。

DH算法（Diffie-Hellman，交换及密钥分发）

DH算法是一种公共密钥算法。通信双方不直接传输密钥，而是通过交换一些数据，计算出共享的密钥；由于其复杂度很高，即使第三方（如黑客）截获了双方用于计算密钥的所有交换数据，也难以计算出真正的密钥。所以，DH交换技术可以保证双方能够安全地获得公有信息。

PFS（Perfect Forward Secrecy，完善的前向安全性）

PFS是一种安全特性，它解决了密钥之间相互无关性的需求。由于IKE第二阶段协商需要从第一阶段协商出的密钥材料中衍生出用于IPsec SA的密钥，若攻击者能够破解IKE SA的一个密钥，则会非常容易得掌握其衍生出的任何IPsec SA的密钥。使用PFS特性后，IKE第二阶段协商过程中会增加一次DH交换，使得IKE SA的密钥和IPsec SA的密钥之间没有派生关系，即使IKE SA的其中一个密钥被破解，也不会影响它协商出的其它密钥的安全性。

功能价值

安全可靠

IPSec VPN基于IPSec协议、IKE协议对传输的数据进行加密，从硬件、软件、链路三个层面在Internet上建立一条安全、可靠的数据隧道，保障数据传输的高安全性。

低成本

利用Internet构建IPSec加密隧道，相对于使用云专线服务连接VPC和本地数据中心，VPN的成本更低，用户无需为VPN通道和对端网关付费。

灵活易用

开通和管理简单：VPN网关即买即用，快速开通，通过简单配置即可实现连接，配置实时生效。

服务集成：VPN连接支持与虚拟专有云VPC、云专线等其他云资源服务集成，搭配多种云资源实现业务端到端的整体解决方案。

应用场景

本地业务扩展至云上

将您的业务系统同时部署在本地数据中心机房和VPC中，通过VPN连通云上VPC与本地数据中心，本地数据和VPC数据通过公网传输进行业务交互，实现资源整合；同时方便使用云上弹性云主机、裸金属等资源，弹性、灵活地扩展应用和业务，并降低了企业IT运维成本。

异地容灾

您可以在VPC内为本地数据中心的服务构建备份系统，通过VPN同步云上VPC和数据中心的数据，从而实现异地容灾，保证服务高可用。

使用限制与指导

关于IPSec VPN 

同一地域内的VPN网关之间不能创建VPN连接，两个VPC之间连接需要通过VPC对等连接实现，多个VPC之间连接通过云联网服务实现。

可建立单站点IPSec VPN连接或多站点IPSec VPN连接。

通常，IPSec VPN技术部署于站点对站点（site to site）模式的安全互联场景，实现本地数据中心与VPC互联；VPC可以与一个本地数据中心建立IPSec连接，即建立单站点VPN连接；也可以将VPC与多个本地数据中心连接，即多站点VPN连接。

图-3 单站点VPN连接

一个VPN网关建立多站点IPSec VPN连接，要求各站点之间的网段不能冲突。

关于SSL VPN

客户端的私网网段和VPC网段或VPC子网网段没有重叠，否则无法通信。

客户端可以访问互联网。

与其他云服务之间的关系

VPN与其他云服务依赖关系如表所述。