VPN网关

1、VPN网关概述

VPN网关是基于互联网链路，通过加密通道将企业数据中心、企业办公网络等和阿里云VPC安全可靠连接起来的服务。

VPN网关

VPN网关支持IPSec和SSL两种协议，实现站点到站点，端到站点的连接。

IPSec-VPN介绍。

采用IPSec（Internet Protocol Security）协议实现远程接入的一种VPN技术。在公网上位两个私有网络提供安全通信通道，通过加密通道保证连接的安全--------在两个公共网关之间提供私密数据封包服务。

IPSec-VPN是打通云上云下的加密通信隧道。

（1）基于路由的流量调度。用户可以通过VPN网关和VPC提供的路由表建立通信隧道，然后将需要与云下网络通信的地址段配置上去，从而实现路由的灵活调度，同时阿里云的VPN网关支持以感兴趣流的模式建立加密隧道，用户可由此来打通云上云下网络。

（2）动态路由（如BGP）。由于云下网络比较复杂，所以在上云过程中，用户需要配置的网段非常多。如果以静态路由的方式配置网段，则回使运维成本增大，同时严重影响业务的稳定性。在打通云上云下的过程中，如果用户选择动态路由，则在加密隧道建立起来之后，云上会自动送云上地址段到对端，同时自动收取对端发送过来的路由，这样在网络变更或地址段发生变化后就可以及时的更新路由，免去了复杂的路由配置过程。

IPSec-VPN

SSL-VPN介绍。

是指采用SSL协议实现远程接入的一种新型VPN技术，包括服务器认证、客户端认证、SSL链路上的数据完整性和数据保密性。

SSL-VPN采用标准的安全套接层SSL对传输中的数据包进行加密，从而在应用层保护了数据的安全性。

SSL-VPN是远程用户访问公司敏感数据简单、安全的解决方案。

SSL-VPN的特点：

（1）多因子认证：SSL-VPN除了支持Key认证，还提供了用户名和密码的认证方式。也可以和本地活动目录（active directory，AD）打通，从而可以以AD认证的方式登陆云网络，对于安全性要求较高的用户，可以方便的切入管理客户端的登陆情况。

（2）客户端支持。目前SSL-VPN支持的客户端系统包括Linux、windows、mac、ios和android。

SSL-VPN

---

2、VPN网关的组成

（1）VPN网关实例。VPN网关实例是用户在云上VPN服务的载体。在创建VPN网关时可以选择开启IPSec协议和SSL协议的功能。

（2）用户网关。是用户侧本地网关在云上的信息集合和抽象。用户将本地网关的基本信息注册到云上，组成用户网关。

（3）IPSec连接。是指VPN网关和用户网关建立连接后的VPN通道。只有在IPSec连接建立之后，用户侧的企业数据中心才能使用VPN网关进行加密通信。

（4）SSL服务。在SSL服务端中将指定要链接的IP地址段，以及客户端连接时使用的IP地址段。

（5）客户端证书。根据SSL服务端配置，创建并下载客户端证书及其配置，以及用户SSL客户端的配置。

---

3、VPN网关的优势

（1）安全。

使用IKE和IPSec协议对传输数据进行加密。

防篡改。通过SHA1,MD5等加密算法保证数据的准确性。

（2）高可用。

VPN网关自身是双机备份的，当一台机器出现故障时，可快速切换到另一台机器恢复业务。

用户通过建立IPSec连接打通云上云下业务时，可以建立多个IPSec连接，避免单一通道故障导致业务不可用。

VPN网关和高速通道星成主备关系，进一步提升VPN网关的可用性

（3）简单易用。

只需进行简单配置即可建立云上云下业务的加密通信通道。而且路由配置调度云上流量。

---

4、应用场景

（1）通过IPSec-VPN低成本快速构建混合云

（2）通过SSL-VPN实现移动办公

通过VPN网关的SSL连接能力建立端设备到VPC的安全加密连接，使得用户通过私网地址即访问云上VPC的业务。

（3）专线POC和备份