設定 IPsec VPN 連線
IPsec VPN 已棄用。 自 2024 年 11 月 3 日起,您無法建立新的 IPsec VPN 執行個體。 現有的 IPsec VPN 實例支援至 2025 年 6 月 30 日。 任何在該日期仍存在的實體都會被刪除。
何謂 IPSec VPN?
IPsec 是一套通訊協定,設計用來驗證和加密兩個地點之間的所有 IP 流量。 它允許受信任的資料通過網路,否則會被視為不安全。 IPsec 通道端點可以位於任何位置,且仍可讓您存取整個專用網路或您指定的網路。 如果您使用區域或雲端服務端點,則 IPsec 通道不相容。
IBM Cloud VPN 存取權限可讓使用者透過 網路,安全地遠端管理所有伺服器。IBM Cloud Private 從您的位置至專用網路的 VPN 連線,讓您能透過已加密的 VPN 通道進行頻外管理,以及伺服器救援。 使用 VPN 存取,您可以:
- 透過 SSL 或 IPsec 建立與私人網路的 VPN 連線。
- 透過 SSH 或 RDP,使用伺服器的私有 10.x.x.x IP 位址存取伺服器。
- 連接至伺服器的 IPMI IP 位址,以處理其他伺服器管理或救援需求。
我們為客戶提供 IPSec 服務,以管理其環境。 不建議用於正式作業工作負載。
協商參數
您需要知道 IPsec VPN 遠端的下列資訊:
- VPN 端點的靜態 IP 位址
- 預先共用的金鑰(密碼)
- 加密演算法(DES、3DES、AES128、AES192、AES256)
- 驗證 ( MD5, SHA1, SHA256, 適用於階段 1&2)
- Diffie-Hellman 群組 (適用於階段 1&2)
- 是否使用完全秘密轉遞 (PFS)?
- 鑰匙使用時間 (第 1 及第 2 階段)- 備註: 我們的系統以秒為單位量測此值!
有了這些資訊之後,您就可以設定 VPN 連線的基本協商參數。
受保護網路
在 VPN 連線內容中,您必須定義隧道遠端的網路和隧道的本機網路。 在「受保護的客戶(遠端)子網路」中,針對 IPSec 通道遠端(非 IBM 端),以 CIDR 表示法輸入專用 IP 位址空間。
例如,如果您在隧道遠端的網路使用單一子網路 10.0.0.0
,其網路遮罩為 255.255.255.0
,您會在「受保護客戶 (遠端) 子網路」部分輸入 IP 位址 10.0.0.0 / CIDR 24
。
網址轉換 (NAT)
使用 IPSec VPN,您也可以在 IBM Cloud 網路上定義專用 IP 位址,以將資料流量遞送至 VPN 連線另一端的遠端子網路。 這可讓您的私人網際網路流量轉發至 VPN 背後的系統的其中一個內部 IP 位址,而不會讓遠端位置暴露於完整的網際網路存取中。
網址轉換/指派的靜態 NAT 子網路
若要配置具有靜態 NAT 項目的遠端 VPN IP,請執行下列動作:
- 選取紅色箭頭,以在指派的靜態 NAT 子網路區段中顯示子網路清單。 顯示子網路中的每個 IP。
- 在客戶 IP直欄下,輸入 VPN 連線遠端系統的 IP,然後在名稱直欄下,輸入對映的名稱。
- 選取新增/修改環境定義位址轉換及套用配置,以儲存並套用配置。
此動作會為返回資料流量設定靜態的一對一網路轉換,供 IBM Cloud VPN 集中器後方的主機用來與遠端 VPN 同層級後方的主機進行通訊。 例如,IP 10.1.255.92
的所有流量將被轉換並轉送到客戶的 IP 192.168.10.15
。 這種轉送方式可省去 IBM Cloud 伺服器上更多的路由項目。
基於安全理由,IBM 不會提供用來管理 IPsec 及 SSL VPN 服務之設備的特定硬體或軟體/作業系統相關資訊。
已知限制
由於與我們的不相容IBM雲端IPsec VPN服務,您無法與其他主要雲端供應商建立IPsec VPN隧道,例如AWS,Azure,和Google Cloud。 如果您覺得在您的網路之間建立 IPsec VPN 隧道IBM Cloud環境和任何這些提供者是必要的,請聯繫IBM銷售團隊討論可用的選項,例如個人網關設備。