全部文档
当前文档
最近更新时间:2025-12-11 15:14:03
VPN连接(VPN Connections)是一种通过公网加密通道连接您的IDC和虚拟私有网络的方式。
VPN网关:VPN网关是虚拟私有网络建立VPN连接的出口网关,与用户网关(用户IDC侧的IPsecVPN服务网关)配合使用,主要用于金山云虚拟私有网络和金山云外IDC之间建立安全可靠的加密网络通信。金山云VPN网关采用双机热备策略,单台故障时自动切换,不影响业务正常运行。
用户网关:用户网关是指用户IDC机房的IPsecVPN服务网关,用户网关需与金山云VPN网关配合使用,一个VPN网关可与多个用户网关建立加密的VPN网络通道。
VPN通道:VPN网关和用户网关建立后,即可建立VPN通道,用于虚拟私有网络和金山云外IDC之间的加密通信。当前VPN通道支持 IPsec加密协议,可满足绝大多数 VPN 连接的需求。每个 VPN 通道包括两条 VPN 隧道,两条VPN隧道互为负载和主备模式。负载模式下,两条隧道同时工作;主备模式下,主隧道发生故障,流量会自动切换至备用隧道。
IDC涉及使用的设备参考如下:
下表从常见的三个维度分析两个产品的差异。
对比项 | VPN连接 | 专线接入 |
部署成本 | 只需公网IP和设备支持VPN即可,部署速度快 | 通过专用的物理专线接入金山云网络,成本较高部署周期长 |
安全性 | 基于公网的加密通信,可以满足用户的网络传输安全性需求。 | 用户独享物理专线,容易遭受物理破坏。 |
灵活性 | 部署支持多种场景,根据不同场景选择配置 | 多场景下需要布线比较僵化固定 |
目的:实现IDC和云上VPN配置互通
云上VPN网关创建:
云上VPN用户网关配置:
用户侧VPN网关配置:
[IDC-VPN-GW1-GigabitEthernet1/0/1]ip address 30.1.1.2 30
[IDC-VPN-GW2-GigabitEthernet1/0/1]ip address 30.1.1.6 30云上VPN通道配置:
用户侧VPN通道配置:
[IDC-VPN-GW1]
#ike 配置
ike proposal 10
encryption-algorithm 3des
authentication-algorithm md5
dh group2
#
ike peer vpn
pre-shared-key abc123456
ike-proposal 10
remote-address 30.1.1.1
#
#ipsec配置
ipsec proposal vpn
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#感兴趣流配置
acl number 3001
rule 5 permit ip source 50.0.0.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
#ipsec配置
ipsec policy vpn 10 isakmp
security acl 3001
ike-peer vpn
proposal vpn
#ipsec 调用
interface GigabitEthernet1/0/1
ipsec policy vpn云上VPN路由配置:
VPN 路由指向VPN网关
VPN网关指向用户侧
VPN网关指向vpc
用户侧VPN路由配置:
[IDC-VPN-GW1]
ip route-static 10.0.0.0 255.255.255.0 30.1.1.1
ip route-static 50.0.0.0 255.255.255.0 40.1.1.2云上server设备ping机房server通
机房server设备ping云上server通第一阶段的核心任务是建立一条安全的管理通道,用于协商后续的数据通道。如果失败,双端VPN网关之间无法建立最基本的信任和加密连接。
主要检查配置(对应图中“认证”和“保护IKE流量”任务):
(1)预共享密钥:这是最常见的原因。两端配置的密钥必须完全一致(包括大小写、特殊字符)。
(2)IKE版本:两端需使用相同的IKE版本(如 IKEv1 或 IKEv2)。目前推荐使用更安全高效的IKEv2。
(3)认证方法:一般为预共享密钥或数字证书,两端需一致。
(4)协商模式(针对IKEv1):
主模式:通常用于站点到站点VPN,进行身份保护。
两端模式需匹配,通常站点间VPN使用主模式。
(5)IKE策略参数不一致:
加密算法:如 AES-256、AES-128、3DES。
认证算法:如 SHA256、SHA1、MD5。
第二阶段在第一阶段建立的加密通道内进行,核心任务是协商如何保护实际传输的用户数据。第一阶段成功后,第二阶段失败。
主要检查配置(对应图中“保护实际数据”和“定义流量”任务):
(1)IPsec策略参数不一致:
封装协议:ESP两端需一致。
加密算法:如 AES-GCM、AES-CBC、3DES。必须匹配。
认证算法:如 SHA256、SHA1。必须匹配。
(2)感兴趣流/保护子网不匹配:
这是第二阶段失败的最常见原因。两端配置的本地子网和对端子网必须互为镜像。
示例:
一端配置:本地子网: 192.168.1.0/24 -> 对端子网: 10.0.0.0/16
另一端必须配置:本地子网: 10.0.0.0/16 -> 对端子网: 192.168.1.0/24
任何IP地址、掩码的错误都会导致协商失败。
(3)路由问题(网关层面):
VPN网关本身必须有到达“本地子网”的路由。
(4)第一阶段SA不稳定:
虽然第一阶段已建立,但如果因网络抖动、生存时间过短等原因导致第一阶段SA提前失效,第二阶段也无法成功。
阶段 | 核心任务 | 关键排查点(按优先级) |
第一阶段 | 建立管理通道,认证对方 | 1. 预共享密钥 2. IKE版本/模式 3. IKE策略(加密/认证/DH组) |
第二阶段 | 建立数据通道,定义如何保护数据 | 1. 感兴趣流(子网) 是否镜像配置 2. IPsec策略(加密/认证/PFS) 3. 路由设置 |
纯净模式