哪些设备可以与云进行VPN对接?
云的VPN支持标准IPsec协议,用户可以通过以下两个方面确认用户侧数据中心的设备能否与云进行对接:
设备是否具备IPsec功能和授权:请查询设备的特性列表获取是否支持IPsec VPN。
关于组网结构,要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP(即NAT穿越,VPN设备在NAT网关后部署)也可以。
设备型号多为路由器、防火墙等,对接配置请参见VPN管理员指南。
说明
普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务(如L2TP)无法与云的VPN进行对接。
与VPN服务做过对接测试厂商包括:
设备厂商:华为(防火墙/AR)、山石(防火墙),CheckPoint(防火墙)。
云服务厂商包括:阿里云,腾讯云,亚马逊(aws),微软(Microsoft Azure)。
软件厂商包括:strongSwan。
IPsec协议属于IETF标准协议,宣称支持该协议的厂商均可与云进行对接,用户不需要关注具体的设备型号。
目前绝大多数企业级路由器和防火墙都支持该协议。
部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的,但是需要专门购买软件License才能激活相关功能。
请用户侧数据中心管理员根据设备具体型号与厂商进行确认。
VPN协商参数有哪些?默认值是什么?
表-VPN协商参数
| 协议 | 配置项 | 值 |
|---|---|---|
| IKE | 认证算法 |
|
| 加密算法 |
| |
| DH算法 |
| |
| 版本 |
| |
| 生命周期 | 86400(默认) 单位:秒。 取值范围:60-604800。 | |
| 本端标识 |
默认的本端标识类型是IP Address,ID值是VPN网关的公网IP。 | |
| 对端标识 |
默认的对端标识类型是IP Address,ID值是对端网关的公网IP。 | |
| IPsec | 认证算法 |
|
| 加密算法 |
| |
| PFS |
| |
| 传输协议 | ESP(默认) | |
| 生命周期 | 3600(默认) 单位:秒。 取值范围:30-604800。 |
说明
PFS(Perfect Forward Secrecy,完善的前向安全性)是一种安全特性。
IKE协商分为两个阶段,第二阶段(IPsec SA)的密钥都是由第一阶段协商生成的密钥衍生的,一旦第一阶段的密钥泄露将可能导致IPsec VPN受到侵犯。为提升密钥管理的安全性,IKE提供了PFS(完美向前保密)功能。启用PFS后,在进行IPsec SA协商时会进行一次附加的DH交换,重新生成新的IPsec SA密钥,提高了IPsec SA的安全性。
为了增强安全性,默认开启PFS,请确认用户侧数据中心网关设备也开启了该功能,且两端配置保持一致,否则会导致协商失败。
IPsec SA字节生命周期,不是VPN服务可配置参数,云侧采用的是默认配置1843200KB。该参数不是协商参数,不影响双方建立IPsec SA。
IPsec VPN是否会自动建立连接?
支持自动建立连接。
如何配置VPN对端设备?(HUAWEI USG6600配置示例)
因为隧道的对称性,在云上的VPN参数和您的VPN中需要进行相同的配置,否则会导致VPN无法建立连接。
在您自己数据中心的路由器或者防火墙上需要进行IPsec VPN隧道配置,具体配置方法取决于您使用的网络设备,请查询对应设备厂商的指导书。
本文以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。
假设数据中心的子网为192.168.3.0/24和192.168.4.0/24,数据中心IPsec隧道的出口公网IP为1.1.1.2;VPC下的子网为192.168.1.0/24和192.168.2.0/24 ,VPC上IPsec隧道的出口公网IP为1.1.1.1。
操作步骤
登录防火墙设备的命令行配置界面。
查看防火墙版本信息。
display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software,Version 5.30)创建ACL。
acl number 3065 vpn-instance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q创建ike proposal。
ike proposal 64 dh group5 authentication-algorithm sha1 integrity-algorithm hmac-sha2-256 sa duration 3600 q创建ike peer,并引用之前创建的ike proposal,其中对端IP地址是1.1.1.1。
ike peer vpnikepeer_64 pre-shared-key ********(********为您输入的预共享密码) ike-proposal 64 undo version 2 remote-address vpn-instance vpn64 1.1.1.1 sa binding vpn-instance vpn64 q配置IPsec proposal。
IPsec proposal IPsecpro64 encapsulation-mode tunnel esp authentication-algorithm sha1 q配置IPsec策略,并引用之前创建的IPsec proposal。
IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dh-group5 ike-peer vpnikepeer_64 proposal IPsecpro64 local-address 1.1.1.2 q将IPsec策略应用到相应的子接口上去。
interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q测试连通性。
在上述配置完成后,我们可以通过云上主机和数据中心的主机进行连通性测试。
图-连通性测试
VPN支持对端网关域名对接吗?
对端VPN连接需要明确对端的公网IP地址,暂不支持通过域名方式与对端设备进行对接。
我创建的VPN连接有几个隧道?
VPN连接下的隧道和本端子网/对端子网的数量有关,隧道总数等于本端子网数和远端子网数的乘积。
当两个子网间存在数据流时,连接这两个子网的IPsec隧道状态就会变成Active。
只要有一个IPsec隧道的状态为Active,对应VPN连接的状态就会显示已连接。
如何在已创建的VPN连接中,限定特定的主机访问云上子网?
云下限制:
VPN设备按照策略限制访问
路由器或交换机上设置ACL限制
云上限制:
安全组限制源IP
ACL限制
说明
不建议通过修改本端子网和对端子网的方式来限定访问。
VPN是否启动了DPD检测机制?
是的。
VPN服务默认开启了DPD探测机制,用于探测用户侧数据中心IKE进程的存活状态。
3次探测失败后即认为用户侧数据中心IKE异常,此时云会删除本端隧道,以保持双方的隧道同步。
DPD协议本身并不要求对端也同步进行配置(但是要求对端可以应答DPD探测),为了保证协商双方隧道状态一致,避免出现单边隧道(一端存在隧道,而另一端已不存在),建议用户同时启动用户侧网关的DPD探测机制,用于探测云侧VPN服务的IKE状态。
说明
DPD探测失败后会删除隧道,不会导致业务不稳定。
如何通过安全组控制使VPN不能访问VPC上的部分虚拟机,实现安全隔离?
如果用户需要控制VPN站点只能访问VPC的部分网段或者部分主机,可以通过安全组进行控制。
配置示例
不允许客户侧的子网192.168.1.0/24访问VPC内子网10.1.0.0/24下的ECS。
配置方法
创建两个安全组:安全组1和安全组2。
安全组1的入方向规则配置deny网段192.168.1.0/24。
安全组2允许192.168.1.0/24访问。
网段10.1.0.0/24的ECS选择安全组1,其他的主机选择安全组2。
修改VPN连接的配置会造成连接重建吗?
VPN连接包含本端子网、对端子网、对端网关、预共享密钥、IKE协商策略、IPsec协商策略。修改VPN连接具体包括以下几种情况:
修改本端子网和对端子网,连接ID不发生变化,只是更新了连接两端的子网信息,如果更新的是部分子网信息,已经建立的子网间隧道不会重建。
修改对端网关IP,连接ID不发生变化,但连接的对端已改变,连接需要重建。
仅修改连接的预共享密钥,连接的ID不发生变化,连接状态当时并不发生改变,重协商会重新校验密钥匹配情况,如果密钥不匹配重协商会失败。
修改协商策略(需验证预共享密钥),连接ID发生改变,相当于连接删除重建过程,连接需要重建。
云对接AWS后,为何不可以从AWS向云发起协商?
VPN建立连接完成后,AWS为Response模式,并不主动发起协商,当从AWS的EC2向云ECS发起数据流时,也不触发该VPN建立SA。
请按照AWS的知识文档,只能从客户侧(即对接AWS的云)发起协商。
对接云时,如何配置DPD信息?
云默认开启DPD配置,且不可关闭该配置。
DPD配置信息如下:
DPD-type:按需
DPD idle-time:30s
DPD retransmit-interval:15s
DPD retry-limit:3次
DPD msg:seq-hash-notify。
两端DPD的type、空闲时间、重传间隔、重传次数无需一致,只要能接收和回应云的DPD探测报文即可,DPD msg格式必须一致。
本地防火墙无法收到VPN网关的IKE第一阶段的回复包怎么解决?
排查方法
检查两端公网IP是否可以互访,推荐使用ping命令,VPN网关EIP缺省可以ping通。
云下网关与VPN网关可以互访UDP 500、4500报文。
云下公网IP访问VPN网关IP时,没有发生源端口NAT转换,如果存在NAT穿越,端口号在nat穿越后不得发生改变。
两端的IKE协商参数配置一致。
NAT穿越场景中,云下ID标识类型选择IP,IP值为NAT转换后的公网IP。
本地防火墙无法收到VPN子网的回复包怎么解决?
如果二阶段协商中需要检查云下的路由、安全策略、NAT和感兴趣流、协商策略信息。
路由设置:将访问云上子网的数据送入隧道。
安全策略:放行云下子网访问云上子网的流量。
NAT策略:云下子网访问云上子网不做源nat。
感兴趣流:两端感兴趣流配置互为镜像,使用IKE v2配置感兴趣流不可使用地址对象名称。
协商信息:协商策略信息云上云下一致,特别注意PFS的配置。
确认一、二阶段协商均已正常后,请检查云上安全组策略,放行入方向的云下子网访问云上子网的ICMP协议。
VPN使用的DH group对应的比特位是多少?
Diffie-Hellman(DH)组确定密钥交换过程中使用的密钥的强度。较高的组号更安全,但需要额外的时间来计算密钥。
表-VPN使用的DH group对应比特位
| DH group | Modulus |
|---|---|
| 1 | 768 bits |
| 2 | 1024 bits |
| 5 | 1536 bits |
| 14 | 2048 bits |
| 15 | 3072 bits |
| 16 | 4096 bits |
| 19 | ecp256 bits |
| 20 | ecp384 bits |
| 21 | ecp521 bits |
说明
以下DH算法有安全风险,不推荐使用:DH group 1、DH group 2、DH group 5。
