腾讯云 VPN 连接是一款基于 Internet 的远程网络连接服务,VPN 网关是 VPN 连接的重要功能载体,通过加密通道(IPSec、SSL)实现与客户 IDC 、客户移动端、内部办公网络建立安全的网络通道 ,从而实现站点到站点的安全访问,VPN 配置灵活,可满足多种用户通信场景。
IPSec VPN 应用场景
VPN 在进行路由转发时有两种方式:
基于 SPD 策略路由,匹配数据流的源网段、目的网段,按照设定好的转发策略进行转发,该方式无法实现路由选路,因此无法中转流量,但可实现场景一、四、六的通信。
通过配置 VPN 路由表,使得数据包基于目的网段进行选路转发,该方式即为目的路由方式。利用该功能可实现如下所有场景的通信,其中场景六需要和 SPD 策略路由配合使用,也可以直接使用 SPD 策略路由实现。
说明
图中“对端网关”为记录 IDC 侧 IPsec VPN 设备公网 IP 地址的逻辑对象,与 IDC 侧的 IPsec VPN 设备一一对应。
场景一:VPC 与 IDC 通信
VPN 连接实现 VPC 与 IDC 的互访通信。
场景二:单 VPC 与多 IDC 实现全流量互通
多个 IDC 在通过 VPN 连接上云场景中实现互通。
场景描述:用户 IDC-1、IDC-2、IDC-3 分别通过各自的 IPsec VPN 设备接入腾讯云 VPC 型 VPN 网关,IDC-1、IDC-2、IDC-3 间不仅可以访问 VPN 网关所属私有网络内的各类资源,还可以通过腾讯云 VPN 网关实现中转互通,最终实现 IDC1、IDC2、IDC3 与 VPC 之间的安全通信。
场景三:多 IDC 通过 VPN 网关实现中转通信
当多个 IDC 需要互通通信,但不需要访问云上资源时,可通过云联网型 VPN 实现中转互通。
场景描述:用户 IDC-1、IDC-2、IDC-3 分别通过各自的 IPsec VPN 设备接入腾讯云 CCN 型 VPN 网关,IDC-1、IDC-2、IDC-3 之间仅通过腾讯云 VPN 网关实现中转互通,但不需要访问腾讯云公有云资源,该场景下,用户可以创建 CCN 型 VPN 网关,但并不关联至云联网,直接在 VPN 网关实现流量互转。
场景四:多 IDC 与云上多网络实现全流量互通
场景描述:用户 IDC-1、IDC-2、IDC-3 分别通过各自 IPsec VPN 设备接入腾讯云 CCN 型 VPN 网关,IDC-1、IDC-2、IDC-3 之间可以通过腾讯云 VPN 网关实现中转互通,同时需要通过云联网访问云联网所关联的 VPC 以及专线网络,该场景下,用户可以创建 CCN 型 VPN 网关,并关联至云联网,实现全流量互通。
场景五:IDC 通过 VPN 主备通道实现主备容灾上云
当用户 IDC 通过主备 VPN 通道上云,且主通道发生故障时,业务将自动切换到备用通道上,保证了业务的持续性、从而提高业务可靠性。
场景描述一:用户 IDC 仅需要与单个腾讯云 VPC 实现互通,在用户 IDC 侧,用户可以部署两台 IPsec VPN 设备,分别与腾讯云私有网络型 VPN 建立 IPSec VPN 通道,VPN 网关路由表配置两条目的端一致的路由,通过优先级控制,实现主备通道效果;在发生故障时,可以实现路由自动切换。
场景描述二:用户 IDC 需要与多个腾讯云 VPC(相同地域或不同地域)以及专线网络实现互通,在用户 IDC 侧,用户可以部署两台 IPsec VPN 设备,分别与腾讯云云联网型 VPN 网关建立 IPSec 通道,VPN 网关路由表可配置两条目的端一致的路由,通过优先级控制,实现主备通道效果;在发生故障时,可以实现路由自动切换。
场景六:单 VPC 通过多条 VPN 通道分别与多个 IDC 通信
该通信场景与场景二类似,区别在于该场景仅需实现 IDC1 与 VPC 通信、IDC2 与 VPC 通信,IDC3 与 VPC 通信,而 IDC1、IDC2、IDC3 之间无需通信。
该场景建议优先使用 SPD 策略路由的方式,分别创建 VPC > IDC1、VPC > IDC2、VPC > IDC3 的规则即可。
如果仅使用目的路由的方式,会导致 IDC1、IDC2 与 IDC3 也能互相通信,不符合通信场景,可以在 SPD 策略路由中配置 VPC > IDC1、VPC > IDC2 的规则,再在路由表中配置目的网段为 IDC3 的路由策略,由于 SPD 策略路由的优先级高于目的路由,因此也可实现该场景通信。
场景七:VPN 网关与专线网关实现主备容灾
该通信场景与场景五类似,区别在于该场景使用动态 BGP 进行专线主 + VPN 备实现主备容灾,其中两个 VPN 网关为 ECMP 关系。正常情况下业务流量在专用通道中,当发生故障时自动将流量切至 VPN,恢复正常后业务流量自动切回专线。
场景八:VPN 网关与专线网关实现私网流量加密通信
在本地数据中心 IDC 通过物理专线和云上 VPC 实现私网通信后,私网 VPN 网关可通过已建立的私网连接与本地网关设备建立加密通信通道。您可以通过相关路由配置引导本地 IDC 和 VPC 要互通的流量进入加密通信通道,实现私网流量加密通信。
说明:
本场景中私网 VPN 网关 IP 地址归属租户 VPC。
私网 VPN 目前仅支持 VPC 型 VPN,CCN 型 VPN 暂不支持。
SSL VPN 应用场景
场景1:移动端远程访问单 VPC
用户需要通过 PC 或手机等移动端远程访问自己在云上单 VPC 内资源与服务,可通过 SSL VPN 建立与云上资源的连接。
场景2:移动端远程访问多 VPC
用户需要使用 PC 或手机等移动端远程访问自己在云上多个 VPC 内的资源与服务,可通过 CCN 型 SSL VPN 建立与云上资源的连接。
场景3:移动端通过 VPN 访问 IDC 资源
用户通过云联网 CCN 将 IPSec VPN 网关和 SSL VPN 网关关联,用户可以使用 PC 或手机等移动端远程访问自己 IDC 内的资源与服务。