IPsec隧道
概述
IPsec隧道:通过对IP协议的分组加密和认证来保护IP协议的网络传输数据,实现站点到站点(Site-to-Site)的虚拟私有网络(VPN)连接。
功能特点
- IPsec协商模式:
基于安全考虑,只支持主模式(Main Mode),不支持野蛮模式(Aggressive Mode)。
- IPsec安全协议:
仅支持ESP封装协议。
- IPsec封装模式:
仅支隧道模式(Tunnel Mode),不支持传输模式(Transport Mode)。
- IPsec路由模型:
仅支持基于策略的IPsec VPN,不支持基于路由的IPsec VPN,因此隧道仅支持传播单播数据,不支持组播和广播。
创建IPsec隧道
在ZStack Cube 旗舰版主菜单,点击,进入IPsec隧道界面,点击创建IPsec隧道,弹出创建IPsec隧道界面。
可参考以下示例输入相应内容:
- 名称:设置IPsec隧道名称,例如IPsec隧道-1
- 简介:可选项,可留空不填
- 本端IP地址:
- 虚拟IP方法:通过虚拟IP提供IPsec服务,包括创建虚拟IP、已有虚拟IP若选择创建虚拟IP,需填写以下参数:
- 公有网络:选择提供虚拟IP的公有网络
- 网络段:可选项,可指定网络段。其中IPv4类型的公有网络支持选择普通网段或地址池网络段
- 指定IP:可选项,可指定虚拟IPNote:
- 若留空不填,系统会自动分配虚拟IP。
- 若未选择网络段,仅可从普通网络段中指定IP地址。
若选择已有虚拟IP,需设置以下参数:- 虚拟IP:选择已有的虚拟IP地址Note: VPC路由器提供的系统虚拟IP支持用于IPsec服务。
- 虚拟IP方法:通过虚拟IP提供IPsec服务,包括创建虚拟IP、已有虚拟IP
- 对端IP地址:填写目的网络用于IPsec服务的公网IP
- 源网络CIDR:选择路由器挂载的VPC网络,如果路由器仅挂载一个VPC网络则会默认选中该网络
- 目的网络CIDR:填写目的网络指定的网络CIDRNote: 不能和VPC路由器的管理网络、公有网络的网络段重叠。
- 认证模式:psk(默认)
- 认证密钥:设置密钥,建议设置强度较高的密钥Note: 本端和对端的认证密钥需保持完全一致。
- ID配置方法:为本端和对端设备配置ID,支持IP地址和名称两种方式:
- IP地址:通过IP地址标识本端和对端设备
- 本端ID:标识本端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
- 对端ID:标识对端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
- 名称:通过名称标识本端和对端设备
- 本端ID:标识本端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
- 对端ID:标识对端设备的唯一ID,可为对端设备认证时使用,长度为 1-255 个字符
- IP地址:通过IP地址标识本端和对端设备
- 高级设置:云平台提供IKE和IPsec两类高级选项配置,以下默认选项为可连通双边私网的选项
- IKE配置:
- IKE版本:IKEv2(默认)
- IKE验证算法:sha256(默认)
- IKE加密算法:aes-256(默认)
- IKE DH组:2(默认)
- IPsec配置:
- 封装模式:tunnel(默认)
- 传输安全协议:esp(默认)
- ESP认证算法:sha256(默认)
- ESP加密算法:aes-256(默认)
- PFS DH组:dh-group14(默认)
Note:- 如果客户场景设计ZStack Cube 旗舰版的VPC路由器与支持IPsec隧道的第三方设备对接,则需两端协商具体的高级配置信息。
- 创建IPsec隧道时,需根据远端网络设备IPsec配置内容,调整本地高级设置内容。
- IKE配置:
如图 1所示:图 1. 创建IPsec隧道
管理IPsec隧道
在ZStack Cube 旗舰版主菜单,点击,进入IPsec隧道界面。
IPsec隧道支持以下操作:
| 操作 | 描述 |
|---|---|
| 创建IPsec隧道 | 创建一个IPsec隧道。 |
| 修改配置 | 修改IPsec隧道配置。 Note: 修改配置后IPsec隧道连接会出现短暂中断,请谨慎操作。 |
| 重连IPsec隧道 | 重连一个IPsec隧道。 Note: 此操作会导致IPsec隧道连接短暂中断,请谨慎操作。 |
| 删除 | 删除IPsec隧道,将自动删除其提供的IPsec隧道服务。相应的虚拟IP以及其上绑定的其它服务不受影响。 |