IPsec隧道
IPsec隧道:透过对IP协议的分组加密和认证来保护IP协议的网络传输数据,实现站点到站点(site-to-site)的虚拟私有网络(VPN)连接。
IPsec隧道的特性:
- IPsec连接模式
基于安全考虑,只支持主动模式(Main Mode),不支持积极模式(Aggressive Mode);仅支持ESP封装协议。
- IPsec传输模式
仅支持站点到站点的隧道模式,不支持PC点对点模式(基于云端网络模型考虑),不支持两端存在NAT网络。
- IPsec路由模型
仅支持基于对端网段配对模型,仅支持路由配对模式,不支持路由转发模式(不支持OSPF或BGP等动态路由协议)。
本章主要介绍云路由网络下IPsec隧道的使用,关于VPC下IPsec隧道的具体使用方法请参考《专有网络VPC使用教程》的IPsec隧道章节。
云路由网络下IPsec隧道的典型场景:
- 在两套隔离的ZStack私有云环境中,使用云路由网络;两套环境中云主机的私有网络无法直接通信,使用IPsec隧道可实现两套云主机的私有网络互相通信。如Figure 1所示:
Figure 1. 云路由网络下IPsec隧道应用场景 
云路由网络下IPsec隧道的使用方法
云路由网络下IPsec隧道的基本使用流程:
- 在第一套环境中,创建IPsec隧道,指定第一套网络的本地公网IP、并指定本地可用的私有网络,输入第二套网络指定的公网IP作为远端IP,并输入第二套网络指定的私有网络作为远端网路;
- 在第二套环境中,创建IPsec隧道,指定第二套网络的本地公网IP,并指定本地可用的私有网络,输入第一套网络指定的公网IP作为远端IP,并输入第一套网络指定的私有网络作为远端网络。
Note: 两套云路由网络环境中的私有网络段不可重叠。
在第一套ZStack中创建IPsec隧道
在ZStack私有云主菜单,点击,进入IPsec隧道界面,点击创建IPsec隧道,在弹出的创建IPsec隧道界面,可参考以下示例输入相应内容:
- 名称:设置IPsec隧道名称,例如IPsec隧道-1
- 简介:可选项,可留空不填
- 选择虚拟IP:通过虚拟IP提供IPsec服务使用虚拟IP的方法有以下两种:Note: 云路由器提供的系统虚拟IP支持用于IPsec服务。
- 本地子网:选择本地云路由挂载的私有网络,如果云路由仅挂载一个私网则会默认选中该私网
- 远端网络IP:填写远端网络用于IPsec服务的公网IP
- 远端网络CIDR:填写远端网络指定的私有网络CIDR
- 认证密钥:设置密钥,建议设置强度较高的密钥
- 高级选项:可对高级选项进行设置,以下默认选项为可连通双边私网的选项
- 认证模式:psk(默认)
- 工作模式:tunnel(默认)
- IKE 验证算法:sha1(默认)
- IKE 加密算法:3des(默认)
- IKE 完整前向保密:2(默认)
- 传输安全协议:esp(默认)
- ESP 认证算法:sha1(默认)
- ESP 加密算法:3des(默认)
- 完全正向保密(PFS):dh-group2(默认)
Note:- 如果客户场景设计ZStack私有云的云路由与支持IPsec隧道的第三方设备对接,则需两端协商具体的高级配置信息。
- 创建IPsec隧道时,需根据远端网络设备IPsec配置内容,调整本地高级设置内容。
如Figure 4所示:Figure 4. 创建IPsec隧道-1
在第二套ZStack中创建IPsec隧道
IPsec隧道搭建完毕后,两套ZStack的私网可以互通。
IPsec隧道支持的操作
云路由网络下IPsec隧道支持以下操作:
- 修改名称和简介:修改IPsec隧道的名称和简介。
- 删除:删除IPsec隧道,将自动删除其提供的IPsec隧道服务。相应的虚拟IP以及其上绑定的其它服务不受影响。
- 审计:查看此IPsec隧道的相关操作。
VPC下IPsec隧道支持以下操作:
- 修改名称和简介:修改IPsec隧道的名称和简介。
- 加载本地子网:VPC下IPsec隧道支持加载多个本地私有网络。
- 卸载本地子网:将IPsec隧道上的本地私有网络卸载。
- 添加远端网络CIDR:VPC下IPsec隧道支持加载多个远端网络CIDR。
- 删除远端网络CIDR:将IPsec隧道上的远端网络CIDR卸载。
- 删除:删除IPsec隧道,将自动删除其提供的IPsec隧道服务。相应的虚拟IP以及其上绑定的其它服务不受影响。
- 审计:查看此IPsec隧道的相关操作。