關於站對站 VPN 閘道
您可以使用IBM Cloud VPN for VPC 服務將 Virtual Private Cloud (VPC) 安全地連接到另一個專用網路。 使用靜態、路由型 VPN 或原則型 VPN,在 VPC 與內部部署專用網路或其他 VPC 之間設定 IPsec 站台對站台通道。
除了原則型 VPN 之外,現在還可以使用路由型 VPN。 若要開始使用,當您使用 VPN 連線類型建立 VPN 閘道及 建立路由 時,請選取 路由型 作為模式。
VPN for VPC 特徵
IBM Cloud VPN for VPC 服務包含以下功能:
MD-5 和 認證演算法、2 和 5 DH 群組,以及 3-DES 加密演算法已於 2022 年 9 月 20 日廢棄,主控台不再支援。SHA-1
-
身份驗證- IBM Cloud VPN for VPC 支援用於第 1 階段對等驗證的預共用金鑰。 這兩個階段支援的身份驗證演算法包括SHA-256、SHA-384和SHA-512。
-
高可用性- IBM Cloud VPN for VPC 基於兩個 VPN 設備構建,以提供設備級冗餘。 以原則為基礎的 VPN 以「作用中-待命」模式運作,成員之間共用單一 VPN 閘道 IP,而以路徑為基礎的 VPN 則以兩個 VPN 閘道 IP 提供「作用中-作用中」備援。
靜態路由型 VPN 會以「主動-主動」備援模式進行部署。 兩個 VPN 通道與對等 VPN 閘道連接;但是,IBM 閘道始終使用具有小公眾 IP 的通道作為主要出口路徑。 具有大型公用 IP 的通道是次要輸出路徑。 如果兩個隧道都啟動,則從 IBM VPC 到內部網路的流量會經由主要出口路徑。 如果已停用主要輸出路徑,則資料流量會通過次要輸出路徑。 內部部署 VPN 閘道必須使用路由優先順序來選擇相同的偏好路徑。 進一步瞭解
-
無法使用的同層級偵測-可配置機制來偵測 IPsec 同層級的可用性。
-
Diffie-Hellman (DH)-階段 1 中用來在 VPN 對等節點之間產生共用秘密金鑰的金鑰交換通訊協定。 使用者可以選擇性地啟用「完整轉遞保密 (PFS)」及 DH 群組,以進行階段 2 IPsec 協議。 IBM Cloud VPN for VPC 支援 DH 群組 14-24 和 31。
-
加密- IBM Cloud VPN for VPC 支援AES-128、AES-192和AES-256在 IKE 第 1 階段和第 2 階段進行資料加密。
-
網際網路金鑰交換 (IKE)-IKE 是用來建立 VPN 連線之 IPsec 通訊協定的一部分。 在 IKE 階段 1 中,VPN 對等節點會使用 Diffie-Hellman (DH) 金鑰交換來建立安全且已鑑別的通訊通道。 在 IKE 階段 2 中,對等節點會使用來自階段 1 的安全通道來協議 IPsec 通道的參數。 IBM Cloud VPN for VPC 支援IKEv1 (主模式)和IKEv2。 如需支援的組合,請參閱 關於原則協議。
-
IPsec-在裝置之間提供安全通訊的通訊協定套組。 IBM Cloud VPN for VPC 在隧道模式下使用 IPsec 封裝安全協定 (ESP) 封包的 UDP 封裝,提供驗證和整個封包加密。
-
模式- IBM Cloud VPN for VPC 提供基於靜態路由和基於政策的 VPN 模式。 使用原則型 VPN,符合協議 CIDR 範圍的資料流量會透過 VPN 傳遞。 若為靜態路由型 VPN,則會建立虛擬通道介面,並透過 VPN 傳遞任何遞送至這些邏輯介面的資料流量。 這兩個 VPN 選項提供相同的特性。
-
完全轉遞保密 (PFS)-PFS 會確保在 IPsec 重新協議期間不會再次使用 DH 產生的金鑰。 如果金鑰遭盜用,則只能存取受保護安全關聯的生命期限內傳輸中的資料。
開始使用 VPN 閘道器
在建立 VPN 之前,您必須先為 VPN 及其他資源 建立 VPC 及一個以上子網路。
雖然不需要,但建議將至少 16 個 IP (字首 28 或更低) 的子網路專用於 VPN 閘道。 如果您決定在 VPN 子網路內佈建額外資源,請確保一律至少有 4 個 IP 可用於 VPN 閘道使用的回復及維護作業。 除了 VPN 閘道所需的 4 個 IP 之外,子網路中最多保留 5 個 IP 供內部網路使用,因此請確定子網路夠大。
若要建立 VPN 閘道,請遵循下列一般步驟:
-
確保 VPN 流量的 網路 ACL 已就位。
-
請確定您的同層級裝置支援 NAT 遍訪,且已在同層級裝置上啟用它。 如需詳細資訊,請參閱 VPN 閘道的已知問題。
-
檢閱規劃考量並 建立 VPN 閘道。
-
IBM Cloud VPN for VPC 僅支援每個 VPC 的每個區域一個基於路由的 VPN。
-
若為靜態路由型 VPN,請選取或 建立靜態路由的路由表,然後使用 VPN 連線 類型 建立路由。
-
將連線測試或資料流量透過通道傳送至同層級網路上的裝置,以驗證 VPN 連線是否可用。
架構
此圖說明具有多個內部部署網路的 VPN 設定範例。 VPN 在使用者 VPC 內的子網路上配置,但可以由區域內所有子網路上的實例共用。 一個以上 VPN 連線也可以使用 IKE 及 IPsec 原則。
關於原則協議
對於 IKE 協議的兩個階段,IPsec 對等節點必須交換安全參數的提案,每一個安全參數都配置為支援,並同意一組配置。 自訂 IKE 和 IPsec 策略允許IBM Cloud VPN for VPC 使用者配置在此協商期間使用的這些安全性參數。
可以選擇使用 IKE 及 IPsec 原則來配置 VPN 連線。 未選取原則時,會透過稱為 _自動協議_的處理程序自動選擇預設提案。
此協議處理程序所涉及的主要安全參數如下:
- IKE 階段
- 加密演算法
- 鑑別演算法
- Diffie-Hellman 群組 (加密金鑰交換通訊協定)
因為 IBM Cloud 自動協議使用 IKEv2,內部部署裝置也必須使用 IKEv2。 如果您的內部裝置不支援 IKE,請使用自訂的 IKE 政策。IKEv2.
IKE 自動協調(階段 1)
您可以任意組合使用下列加密、鑑別及 Diffie-Hellman 群組選項:
加密 | 鑑別 | DH 群組 | |
---|---|---|---|
1 | aes128 | sha256 | 14-24, 31 |
2 | aes192 | sha384 | 14-24, 31 |
3 | aes256 | sha512 | 14-24, 31 |
IPsec 自動協調(階段 2)
您可以在任何組合中使用下列加密及鑑別選項,或使用下列需要停用鑑別的結合模式加密選項。
預設情況下,對IBM Cloud VPN for VPC 停用 PFS。 部分供應商需要啟用階段 2 的 PFS。 如果需要 PFS,請檢查供應商指示並使用自訂原則。
加密 | 鑑別 | DH 群組 | |
---|---|---|---|
1 | aes128 | sha256 | 已停用 |
2 | aes192 | sha384 | 已停用 |
3 | aes256 | sha512 | 已停用 |
加密 | 鑑別 | DH 群組 | |
---|---|---|---|
1 | aes128gcm16 | 已停用 | 已停用 |
2 | aes192gcm16 | 已停用 | 已停用 |
3 | aes256gcm16 | 已停用 | 已停用 |
VPN for VPC 使用案例
使用案例 1: 與一或多個對等節點網路相關聯之相同類型的單一遠端對等節點裝置的 VPN 連線
路徑型及原則型 VPN 都可讓使用者連接至與一個以上網路相關聯的單一遠端對等裝置。
此使用案例不適用於原則型 VPN 與路由型 VPN 之間的連線。 如需詳細資訊,請參閱 VPN 閘道的已知問題。
使用案例 2: 多個遠端對等裝置的 VPN 連線
原則型及路由型 VPN 都容許使用者使用多個 VPN 連線來連接至與不同 VPC/環境相關聯的多個遠端對等裝置
用例 3:使用 FQDN 的 VPN 進階設定
下列使用案例說明客戶在 IBM Cloud 中具有一個 VPC,並且想要使用單一 VPN 閘道連接其內部部署網站。 內部部署網站 VPN 閘道位於 NAT 裝置後面,且沒有公用 IP 位址。 內部部署 VPN 閘道的本端 IKE 身分是它所擁有的專用 IP 位址。 一個 FQDN 與 NAT 裝置的公用 IP 位址相關聯。
用例 4:為基於路由的 VPN 分配流量
基於路由的 VPN 在後端有 2 個活動隧道。 當兩個 VPN 隧道都啟動時,僅使用 1 條隧道來透過此隧道路由 VPN 流量。
VPN使用小型公網IP的隧道作為主出口路徑。 當主出口路徑停用時,流量將流經輔助路徑。 僅使用一條隧道來路由流量的原因是為了避免非對稱路由問題。 下圖描述了預設配置。 當您建立具有目的地 10.1.0.0/24
路由且下一跳是 VPN 連線時,如果 tunnel 1
和 tunnel 2
都已啟動,則傳回 VPN 裝置的私人 IP 10.254.0.2
以用於路由建立。
虛擬網路介面上的協定狀態過濾提供了解決非對稱路由問題的選項。 詳細資訊請參閱 協議狀態過濾模式。
為基於路由的 VPN 建立連線時,當 VPC 路由的下一躍點是 VPN 連線時,您現在可以在 VPN 閘道連線的 Up
隧道之間啟用流量分配。 若要實現此主動/主動冗餘模式,您必須在 建立 或 新增至 VPN 閘道的連線 時啟用「分發流量」功能。
如下圖所示,流量出口動態路由到2條隧道。 當隧道為 Up
時,將傳回私人 IP 位址 10.254.0.2
和 10.254.0.3
,並且 VPC 網路服務會建立 2 條路由。 由於這些路由具有相同的優先級,因此流量會動態流向 tunnel 1
和 tunnel 2
。
要使用此功能,本地設備應支援非對稱路由以獲得更高的網路效能。 另外,請記住,並非所有本機 VPN 閘道都支援此用例。 例如,如果 VPN 流量的出口和入口來自不同的隧道,則流量可能會被本地 VPN 設備或防火牆封鎖。