VPN for VPC 特征

IBM Cloud VPNfor VPC 服务包括以下功能：

MD-5 和 身份验证算法、2 和 5 DH 组以及 3-DES 加密算法已于 2022 年 9 月 20 日停止使用，控制台不再支持这些算法。SHA-1

• 验证-IBM Cloud VPNfor VPC 支持用于第 1 阶段对等验证的预共享密钥。 这两个阶段支持的验证算法包括SHA-256、SHA-384 和SHA-512。

• 高可用性-IBM Cloud VPNfor VPC 基于两个 VPN 设备构建，可提供设备级冗余。 基于策略的 VPN 以主动-备用方式运行，在成员之间共享单个 VPN 网关 IP，而基于路由的 VPN 通过两个 VPN 网关 IP 提供主动-主动冗余。

  基于路由的静态 VPN 以主动/主动冗余方式部署。 有两个 VPN 隧道与对等 VPN 网关相连，但 IBM 网关始终使用带有小公网 IP 的隧道作为主要出口路径。 具有大型公共 IP 的隧道是辅助出口路径。 如果两个隧道都处于活动状态，从 IBM VPC 到内部网络的流量将通过主出口路径传输。 如果禁用了主出口路径，那么流量将通过辅助出口路径。 内部部署 VPN 网关必须使用路由优先级来选择相同的首选路径。 了解更多

• 死同级检测-用于检测 IPsec 同级可用性的可配置机制。

• Diffie-Hellman (DH)-阶段 1 中使用的密钥交换协议，用于在 VPN 同级之间生成共享密钥。 (可选) 用户可以针对阶段 2 IPsec 协商启用完美正向保密 (PFS) 和 DH 组。 IBM Cloud VPNfor VPC 支持 DH 组 14-24 和 31。

• 加密-IBM Cloud VPNfor VPC 支持AES-128、AES-192 和AES-256，用于 IKE 第 1 阶段和第 2 阶段的数据加密。

• 因特网密钥交换 (IKE)-IKE 是用于建立 VPN 连接的 IPsec 协议的一部分。 在 IKE 阶段 1 中，VPN 同级使用 Diffie-Hellman (DH) 密钥交换来创建安全的已认证通信信道。 在 IKE 阶段 2 中，同级使用来自阶段 1 的安全通道来协商 IPsec 隧道的参数。 IBM Cloud VPNfor VPC 支持IKEv1（主模式）和IKEv2。 请参阅 关于策略协商 以获取受支持的组合。

• IPsec-用于在设备之间提供安全通信的协议套件。 IBM Cloud VPNfor VPC 在隧道模式下使用 UDP 封装 IPsec 封装安全协议（ESP）数据包，提供身份验证和整个数据包加密。

• 模式-IBM Cloud VPNfor VPC 提供基于静态路由和基于策略的 VPN 模式。 通过基于策略的 VPN，与协商的 CIDR 范围匹配的流量将通过 VPN 传递。 对于基于静态路由的 VPN，将创建虚拟隧道接口，并且使用定制路由向这些逻辑接口路由的任何流量都将通过 VPN。 两个 VPN 选项都提供了相同的功能。

• 完美正向保密 (PFS)-PFS 确保在 IPsec 重新协商期间不会再次使用 DH 生成的密钥。 如果密钥被泄露，那么只能访问在受保护的安全性关联生命周期内传输的数据。

开始使用 VPN 网关

在创建 VPN 之前，必须首先为 VPN 和其他资源 创建 VPC 和一个或多个子网。

虽然不需要，但建议将至少 16 个 IP (前缀 28 或更低) 的子网专用于 VPN 网关。 如果您决定在 VPN 子网中供应额外资源，请确保始终至少有 4 个 IP 可用于供 VPN 网关使用的恢复和维护任务。 除了 VPN 网关所需的 4 IP 之外，子网中最多有 5 个 IP 保留供内部网络使用，因此请确保子网足够大。

要创建 VPN 网关，请遵循以下常规步骤:

1. 确保为 VPN 流量设置了 网络 ACL。

2. 确保对等设备支持 NAT 穿越并在对等设备上启用。 有关更多信息，请参阅 VPN 网关限制。

3. 查看规划注意事项并 创建 VPN 网关。

4. 创建 VPN 连接。

   IBM Cloud VPNfor VPC 只支持每个 VPC 每个区域一个基于路由的 VPN。

5. 对于基于路由的静态 VPN，选择或 为静态路由创建路由表，然后使用 VPN 连接 类型 创建路由。

6. 通过 VPN 隧道连接到内部部署网络。

7. 通过将隧道中的 ping 或数据流量发送到对等网络上的设备，验证 VPN 连接是否可用。

体系结构

此图说明了具有多个内部部署网络的示例 VPN 设置。 VPN 在用户的 VPC 中的子网上配置，但可以由专区中所有子网上的实例共享。 IKE 和 IPsec 策略也可以由一个或多个 VPN 连接使用。

关于策略协商

对于 IKE 协商的两个阶段，IPsec 同级必须交换每个配置为支持的安全参数的建议，并商定一组配置。 自定义 IKE 和 IPsec 策略允许IBM Cloud VPNfor VPC 用户配置协商过程中使用的这些安全参数。

使用 IKE 和 IPsec 策略来配置 VPN 连接是可选的。 如果未选择策略，那么将通过称为 _自动协商_的过程自动选择缺省建议。

此协商过程中涉及的主要安全参数如下所示:

• IKE 阶段
• 加密算法
• 认证算法
• Diffie-Hellman 组 (加密密钥交换协议)

由于 IBM Cloud 自动协商使用 IKEv2，因此本地设备还必须使用 IKEv2。 如果您的内部部署设备不支持 IKEv2.

VPN for VPC 用例

用例 1: 与与一个或多个对等网络关联的同一类型的单个远程对等设备的 VPN 连接

基于路由的 VPN 和基于策略的 VPN 都允许用户连接到与一个或多个网络相关联的单个远程对等设备。

此用例不适用于基于策略的 VPN 与基于路由的 VPN 之间的连接。 有关更多信息，请参阅已知限制。

用例 2: 与多个远程对等设备的 VPN 连接

基于策略的 VPN 和基于路由的 VPN 都允许用户使用多个 VPN 连接来连接到与不同 VPC/环境相关联的多个远程对等设备

使用案例3：使用FQDN进行VPN高级配置

以下用例说明了在 IBM Cloud 中具有一个 VPC 并且希望将其内部部署站点与单个 VPN 网关连接的客户。 本地站点 VPN 网关位于 NAT 设备后面，并且没有公共 IP 地址。 内部部署 VPN 网关的本地 IKE 身份是它拥有的专用 IP 地址。 一个 FQDN 与 NAT 设备的公共 IP 地址相关联。

用例 4：为基于路由的 VPN 分配流量

基于路由的 VPN 后端有 2 条活动隧道。 当两条 VPN 隧道都启动时，只有一条隧道用于在隧道上路由 VPN 流量。

VPN 使用带有小公共 IP 的隧道作为主要出口路径。 当主出口路径被禁用时，流量会流经辅助路径。 之所以只使用一条隧道来路由流量，是为了避免非对称路由问题。 下图描述了默认配置。 在创建目的地为 10.1.0.0/24、下一跳为 VPN 连接的路由时，如果 tunnel 1 和 tunnel 2 都正常运行，则会返回 VPN 设备的私有 IP 10.254.0.2 以创建路由。

虚拟网络接口上的协议状态过滤为解决非对称路由问题提供了选择。 更多信息，请参阅 协议状态过滤模式。

为基于路由的 VPN 创建连接时，当 VPC 路由的下一跳是 VPN 连接时，现在可以启用在 VPN 网关连接的 Up 隧道之间分配流量。 要实现这种主动/主动冗余模式，必须在 创建 或 添加 VPN 网关连接 时启用“分配流量”功能。

如下图所示，流量出口动态路由到 2 个隧道。 当隧道 Up 时，将返回私有 IP 地址 10.254.0.2 和 10.254.0.3，VPC 网络服务将创建 2 个路由。 由于这些路由具有相同的优先级，流量会动态流向 tunnel 1 和 tunnel 2。

{: caption="流量功能*

要使用这一功能，内部设备应支持非对称路由，以获得更高的网络性能。 此外，请记住并非所有内部 VPN 网关都支持这种用例。 例如，如果 VPN 流量的出口和入口来自不同的隧道，则流量可能会被内部 VPN 设备或防火墙阻断。

相关链接

这些链接提供有关IBM Cloud VPNfor VPC 的更多信息：

• VPN CLI 参考
• VPN API 参考
• VPN Terraform 参考
• 管理 VPC 基础设施服务的 IAM 访问权限
• Activity Tracker 事件
• VPN 网关的常见问题解答
• 对 VPN 网关进行故障诊断
• VPN 网关配额