VPNaaS服务说明

IPSec概念

​ IPSec(Internet Protocol Security)是 IETF 制定的为保证在 Internet 上传送数据的安全保密性能的三层隧道加密协议.IPSec 在 IP 层对 IP 报文提供安全服务.IPSec 协议本身定义了如何在 IP 数据包中增加字段来保证 IP 包的完整性、私有性和真实性,以及如何加密数据包.使用 IPsec,数据就可以安全地在公网上传输.简单地说,IPsec 提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护.

​ IPSec 协议:

  1. 包括报文验证头协议AH(协议号51),供数据源认证、数据完整性校验和防报文重放功能
  2. 报文安全封装协议ESP(协议号50),在AH之上,增加数据加密功能.

​ IKE协议:

  1. 使两个地点能够建立安全的连接,方法是使用事先共享的密钥或由一家认证机构管理的公钥基础结构(PKI)数字证书.

​ IPSec 和 IKE 的关系:

  1. IKE是 UDP 之上的一个应用层协议,是 IPSEC 的信令协议
  2. IKE为 IPSEC 协商建立安全联盟,IPSEC 使用 IKE 建立的安全联盟对 IP 报文加密或验证处理.
  3. IPSEC 利用AH或者ESP在IP层对报文进行处理.

​ IPSec传输模式

  1. transport - 适用于 pc to pc .
  2. tunnel - 适用于 site to site(ps - router, router - router)

VPNaaS使用

  1. 创建配置IKE协议(包括名称, 算法, 生命周期等主要参数)
  2. 创建配置IPSec协议(包括名称,算法,协议,生命周期等主要参数)
  3. 创建配置VPN服务(选择对应的需要使用vpn的子网与对应的路由器)
  4. 创建配置点对点链接(选择对应的IKE和IPSec和VPN服务,填写对端的路由ip)

点对点链接需要双方同时建立,并且使用相同的IKE和IPSEC配置