VPC、VPN网关、VPN连接之间有什么关系?
VPC,即云上私有专用网络,同一Region中可以创建多个VPC,且VPC之间相互隔离。一个VPC内可以划分多个子网网段。
VPN网关,基于VPC创建,是VPN连接的接入点。一个VPC下支持购买多个VPN网关,每个网关可以创建多个VPN连接。
VPN连接,基于VPN网关创建,用于连通VPC子网和用户数据中心(或其它Region的VPC)子网,即每个VPN连接连通了一个用户侧数据中心的网关。
说明
VPN连接的数量与VPN连接的本端子网和远端子网的数量无关,仅与用户VPC需要连通的用户数据中心(或其它Region的VPC)的数量有关,已创建的VPN连接的数量即VPN连接列表中展示的数量(一个条目即一个VPN连接),也可以在VPN网关中查看当前网关已创建的VPN连接数量。
VPN配置下发后,多久能够生效?
用户在管理控制台完成VPN资源创建后,配置1-5分钟下发完成,下发后立即生效。
说明
VPN配置下发成功后,并不表示VPN连接已经建立成功,用户还需要对用户侧网关设备进行配置,完成与VPN网关的隧道协商。
VPN配置完成了,为什么连接一直处于未连接状态?
可能存在信息配置错误,请从以下方面进行排查:
确认两端的预共享密钥和协商信息一致,云上与用户侧数据中心的本端子网/对端子网、本端网关/对端网关互为镜像。
确认用户侧数据中心设备的路由、NAT和安全策略配置无误。
VPN网关删除后公网地址是否可以保留?
按需VPN网关如果绑定了按需EIP,则VPN网关删除后会同步删除绑定的按需EIP。
如果需要保留EIP,请在删除VPN网关前对EIP进行解绑操作。
已经创建的VPN哪些信息可以修改,哪些信息不可以修改?
VPN网关
可以修改的信息
名称
本端子网
主备EIP
可以通过先解绑EIP,然后绑定EIP的方式对主备EIP进行修改。
如果EIP已经创建了VPN连接,则无法解绑。
EIP的名称、公网IP类型、带宽大小等属性修改。
不可以修改的信息
区域
关联模式
虚拟私有云
互联子网
BGP ASN
计费模式,包括包年/包月和按需计费
规格
可用区
VPN连接组数(仅“计费模式”为“包年/包月”时需要设置)
对端网关
可以修改的信息
名称
不可以修改的信息
路由模式
BGP ASN(仅“路由模式”选择“动态BGP”时需要设置)
公网IP
VPN连接
可以修改的信息
名称
本端接口地址
对端网关
对端子网
策略配置,包括IKE策略和IPsec策略
预共享密钥
不可以修改的信息
VPN网关
公网IP
连接模式,包括路由模式和策略模式
路由模式,包括静态路由和BGP(仅“连接模式”选择“路由模式”时需要设置)
检测机制(仅“连接模式”选择“路由模式”时需要设置)
策略规则,包括源网段和目的网段(仅“连接模式”选择“策略模式”时需要设置)
本地设备配置VPN时需要设置ACL,为何在控制台上找不到对应的配置?
VPN连接的“连接模式”选择“策略模式”时,才需要在控制台上配置策略规则ACL。
创建VPN连接时添加对端子网,提示系统异常,如何处理?
检查VPC内是否存在对等连接、云专线的子网路由使用了该子网,导致VPN下发子网路由冲突,确认后将其配置的子网路由删除后重新创建即可。
Console界面在哪添加VPN远端路由?
云端在VPN连接创建时会自动下发远端子网路由,无需手动配置。
如何理解VPN连接中的对端网关和对端子网?
对端网关和对端子网是两个相对的概念,在建立VPN连接时,从云的角度出发,VPC网络就是本地子网,创建的VPN网关就是本地网关,与之对接的用户侧网络就是对端子网,用户侧的网关就是对端网关。
对端网关IP就是用户侧网关的公网IP,对端子网指需要和VPC子网互联的子网。
创建VPN连接时如何关闭PFS?
云
请在VPN连接配置参数中,将IPsec策略中PFS的选项选择为Disable。云默认开启PFS。
用户数据中心对端网关
部分设备厂商默认关闭了PFS功能,请查询设备对应用户手册进行操作。
说明
配置过程中,请确认云和对端网关侧PFS配置一致,否则会导致协商失败。
为了增强安全性,建议云和对端网关侧均开启PFS。
VPN本端子网和对端子网的数量有限制吗?
每VPN网关配置的本地子网数量:50
每VPN连接支持配置的对端子网个数:50
配置VPN连接的本端子网和对端子网时需要注意什么?
子网数量满足规格限制,数量超出规格限制请进行聚合汇总。
每VPN网关配置的本地子网数量:50
每VPN连接支持配置的对端子网个数:50
本端子网不可以包含远端子网,远端子网可以包含本端子网。
推荐配置的本端子网在VPC内有路由可达。
同一个VPN网关创建两条连接:若这两条连接的远端子网存在包含关系,在访问的目的网络处于交集网段部分时,按照创建连接的先后顺序匹配VPN连接,且与连接状态无关(策略模式不能按照掩码长度进行匹配)。
创建VPN连接后业务已通,但网页上的连接状态还是显示未连接?
VPN连接状态刷新存在一定的延迟,业务已通但是网页上VPN连接状态还是未连接是正常现象。
如果数据面已正常(即业务访问已正常),连接就已经完成建立了,短暂等待后VPN连接状态就会更新为“已连接”。
修改协商策略后,页面显示资源不存在,如何处理?
此问题为页面刷新周期问题。
在修改连接高级策略时,系统会先删除,再重建VPN连接,如果在页面创建过程中出现短暂的删除中或创建中属于正常现象,切勿重复创建同一连接(本端子网、对端子网、对端网关相同的连接);
如果页面长时间停留在删除或创建中,请提交工单解决。
VPN网关最大支持多大带宽?
VPN网关规格最大支持1Gbit/s。
创建VPN连接时如何选择IKE的版本?
推荐您选择IKEv2进行协商,其原因是IKEv1的版本存在一定的安全风险,且IKEv2在连接的协商建立过程,认证方法支持,DPD超时处理,SA超时处理上都优于IKEv1。
云将大力推进IKEv2的使用,逐步停用IKEv1协商策略。
IKEv1与IKEv2的协议介绍
IKEv1协议是一个混合型协议,其自身的复杂性不可避免地带来一些安全及性能上的缺陷,已经成为目前实现的IPsec系统的瓶颈。
IKEv2协议保留了IKEv1的基本功能,并针对IKEv1研究过程中发现的问题进行修正,同时兼顾简洁性、高效性、安全性和健壮性的需要,整合了IKEv1的相关文档,由RFC4306单个文档替代。通过核心功能和默认密码算法的最小化规定,新协议极大地提高了不同IPsec VPN系统的互操作性。
IKEv1存在的安全风险
IKEv1 支持的密码算法已超过10年未做更新,并不支持诸如AES-GCM、ChaCha20-Poly1305等推荐的强密码算法。IKEv1使用ISALMP头的E比特位来指定该头后跟随的是加密载荷,但是这些加密载荷的数据完整性校验值放在单独的hash载荷中。这种加密和完整性校验的分离阻碍了v1使用认证加密(AES-GCM),从而限制了只能使用初期定义的AES算法。
协议本身也无法防止报文放大攻击(属于DOS攻击)初始报文交换,IKEv1容易被半连接攻击,响应方响应初始化报文后维护发起-响应的关系,维护了大量的关系会消耗大量的系统资源。
针对连接的DOS攻击,IKEv2协议上有针对性的解决方案。
IKEv1野蛮模式安全性低:野蛮模式开始信息报文不加密,存在用户配置信息泄漏的风险,当前也存在针对野蛮攻击,如:中间人攻击。
IKEv1和IKEv2的区别
协商过程不同。
IKEv1协商安全联盟主要分为两个阶段,其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA,它支持两种协商模式:主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA,通过快速交换模式(3条ISAKMP消息)完成协商。
IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA,如果要求建立的IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。
说明
IKEv1协商,主模式需要6+3,共9个报文;野蛮模式需要3+3,共6个报文。IKEv2协商,只需要2+2,共4个报文。
认证方法不同。
数字信封认证(hss-de)仅IKEv1支持(需要安装加密卡),IKEv2不支持。
IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能,必须借助L2TP来分配私网地址。
IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持,IKEv1不支持。
DPD中超时重传实现不同。
retry-interval参数仅IKEv1支持。表示发送DPD报文后,如果超过此时间间隔未收到正确的应答报文,DPD记录失败事件1次。当失败事件达到5次时,删除IKE SA和相应的IPsec SA。直到隧道中有流量时,两端重新协商建立IKE SA。
对于IKEv2方式的IPsec SA,超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文,则认为对端已经下线,删除IKE SA和相应的IPsec SA。
IKE SA与IPsec SA超时时间手工调整功能支持不同。
IKEv2的IKE SA软超时为硬超时的9/10±一个随机数,所以IKEv2一般不存在两端同时发起重协商的情况,故IKEv2不需要配置软超时时间。
IKEv2相比IKEv1的优点
简化了安全联盟的协商过程,提高了协商效率。
修复了多处公认的密码学方面的安全漏洞,提高了安全性能。
加入对EAP(Extensible Authentication Protocol)身份认证方式的支持,提高了认证方式的灵活性和可扩展性。
EAP是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即如果想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。当前EAP认证已经广泛应用于拨号接入网络中。
IKEv2使用基于ESP设计的加密载荷,v2加密载荷将加密和数据完整性保护关联起来,即加密和完整性校验放在相同的载荷中。AES-GCM同时具备保密性、完整性和可认证性的加密形式与v2的配合比较好。
建立IPsec VPN连接需要帐户名和密码吗?
常见的使用帐户名和密码进行认证的VPN有SSL VPN、PPTP或L2TP,云的IPsec VPN使用预共享密钥方式进行认证,密钥配置在VPN网关上,在VPN协商完成后即建立通道,VPN网关所保护的主机在进行通信时无需输入帐户名和密码。
说明
IPsec XAUTH技术是IPsec VPN的扩展技术,它在VPN协商过程中可以强制接入用户输入帐户名和密码。
目前VPN不支持该扩展技术。
VPN监控可以监控哪些内容?
VPN网关
可以监控网关IP的带宽信息,包含入网流量、入网带宽、出网流量、出网带宽及出网带宽使用率。
查询VPN网关监控状态,请在VPN网关“网关IP”列中单击EIP后面的进行查看。
VPN连接
可以监控连接的状态信息,包括VPN连接状态、链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率。
其中,链路往返平均时延、链路往返最大时延、链路丢包率、隧道往返平均时延、隧道往返最大时延、隧道丢包率需要单击VPN连接,在“基本信息”页签通过添加健康检查项进行添加;私网相关指标仅VPN连接使用静态路由模式,且开启NQA检测机制场景下支持配置。
查询VPN连接监控状态,请在VPN连接“监控”列中单击进行查看。
VPN连接中断后会通知我吗?
VPN连接的状态监控功能已上线,VPN连接创建后即会向云监控服务CES上报状态信息,但是并不会自动向用户发送告警通知,需要在服务列表中选择“管理与监管>云监控”创建告警规则。
VPN连接状态请在VPN连接“监控”列中单击进行查看。
