设置 IPsec VPN 连接
IPsec VPN 已废弃。 自 2024 年 11 月 3 日起,您将无法创建新的 IPsec VPN 实例。 现有的 IPsec VPN 实例可支持到 2025 年 6 月 30 日。 任何在该日期仍然存在的实例都将被删除。
什么是 IPSec VPN?
IPsec 是一套协议,旨在验证和加密两个地点之间的所有 IP 流量。 它允许可信数据通过网络,否则这些数据将被视为不安全。 IPsec 隧道端点可以位于任何位置,并且仍然提供对整个专用网络或您指定的网络的访问权。 如果您正在使用区域或云服务端点,那么 IPsec 隧道不兼容。
IBM Cloud VPN 访问功能允许用户通过 网络远程安全地管理所有服务器。IBM Cloud Private 通过建立从您的位置到专用网络的 VPN 连接,您可以使用加密的 VPN 隧道进行带外管理和服务器急救。 通过 VPN 访问,您可以:
- 通过 SSL 或 IPsec 与专用网络建立 VPN 连接。
- 通过 SSH 或 RDP,使用 10.x.x.x 专用 IP 地址访问服务器。
- 连接到服务器的 IPMI IP 地址以满足其他服务器管理或急救需求。
我们提供的 IPSec 服务供客户用于管理其环境。 建议不要将其用于生产工作负载。
协商参数
您需要知道 IPsec VPN 远端的以下信息:
- VPN 端点的静态 IP 地址
- 预共享密钥(密码)
- 加密算法(DES、3DES、AES128、AES192 和 AES256)
- 验证 ( MD5, SHA1, SHA256, 用于第 1 和第 2 阶段)
- Diffie-Hellman 小组(用于第 1 和第 2 阶段)
- 是否使用了完美前向保密 (PFS)?
- 钥匙使用寿命(第 1 和第 2 阶段) - 注: 我们的系统以秒为单位测量该值!
有了这些信息后,就可以配置 VPN 连接的基本协商参数了。
受保护的网络
在 VPN 连接属性中,必须定义隧道远端的网络和隧道的本地网络。 在“受保护的客户(远程)子网”中,为 IPSec 隧道的远程(非 IBM)端输入以 CIDR 表示法表示的专用 IP 地址空间。
例如,如果隧道远端的网络使用单一子网 10.0.0.0,子网掩码为 255.255.255.0,则应在“受保护客户(远程)子网”部分输入 IP 地址 10.0.0.0 / CIDR 24。
网络地址转换 (NAT)
通过 IPSec VPN,您还可以在 IBM Cloud 网络上定义专用 IP 地址,用于将流量路由到 VPN 连接的另一端上的远程子网。 这样,您就可以将私人互联网流量转发到 VPN 背后系统的一个内部 IP 地址,而不会让远程位置完全暴露在互联网访问之下。
网络地址转换/分配的静态 NAT 子网
要使用静态 NAT 条目配置远程 VPN IP,请执行以下操作:
- 选择红色箭头以在分配的静态 NAT 子网部分中显示子网列表。 显示子网中的每个 IP。
- 在客户 IP 列下,输入 VPN 连接的远程端的 IP;在名称列下,输入映射的名称。
- 选择添加/修改上下文地址转换和应用配置,以保存并应用配置。
此操作为返回流量设置静态一对一网络转换,IBM Cloud VPN 集中器后面的主机将使用返回流量来与远程 VPN 同级后面的主机进行通信。 例如,IP 10.1.255.92 的所有流量将被翻译并转发到客户的 IP 192.168.10.15。 这种转发无需在 IBM Cloud 服务器上设置更多路由条目。
由于安全原因,IBM 未提供有关用于托管 IPsec 和 SSL VPN 服务的设备的特定硬件或软件/操作系统信息。
已知限制
由于与我们的 IBM CLoud IPsec VPN 服务不兼容,您无法与其他主要云提供商(如 AWS、Azure 和 Google Cloud)建立 IPsec VPN 通道。 如果您认为有必要在IBM Cloud环境和任何这些提供商之间建立 IPsec VPN 通道,请联系IBM销售团队,讨论可用的选项,例如个人网关设备。