IPsec隧道

IPsec隧道:透过对IP协议的分组加密和认证来保护IP协议的网络传输数据,实现站点到站点(site-to-site)的虚拟私有网络(VPN)连接。

IPsec隧道的特性:
  • IPsec连接模式

    基于安全考虑,只支持主动模式(Main Mode),不支持积极模式(Aggressive Mode);仅支持ESP封装协议。

  • IPsec传输模式

    仅支持站点到站点的隧道模式,不支持PC点对点模式(基于云端网络模型考虑),不支持两端存在NAT网络。

  • IPsec路由模型

    仅支持基于对端网段配对模型,仅支持路由配对模式,不支持路由转发模式(不支持OSPF或BGP等动态路由协议)。

云路由网络下IPsec隧道的典型场景:
  • 在两套隔离的ZStack私有云环境中,使用云路由网络;两套环境中云主机的私有网络无法直接通信,使用IPsec隧道可实现两套云主机的私有网络互相通信。
    Figure 1所示:
    Figure 1. 云路由网络下IPsec隧道应用场景


VPC IPsec隧道的典型场景:
  • 在两套隔离的ZStack私有云环境中,分别搭建两套VPC环境,在两套VPC环境中,分别创建两套VPC网络(VPC子网),两套VPC环境的子网间无法直接通信,使用IPsec隧道后,就可实现两套VPC环境的子网间互相通信。