跳转至
Megaport 技术文档
IPsec
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

在 Megaport 中使用 IPsec

如果您需要对 IP 网络中端点之间的流量进行加密,IPsecInternet Protocol Security(IPsec) 是一种用于 Internet Protocol(IP) 通信的安全网络协议套件,其通过在通信会话中对数据包进行认证和加密来实现。 它在 Internet Protocol 网络上为两台计算机之间提供安全的加密通信,并用于虚拟专用网络。
 是最常见的解决方案。IPsec 加密的流量可以透明地承载在任何 Megaport VXC 之上。

使用 Megaport 创建加密的 IPsec 链路

您可以创建 IPsec 加密的客户到客户、客户到云或云到云连接。有关创建 IPsec 连接的更多信息,请参阅您的云或设备供应商的文档。 在 Megaport Cloud Router(MCR)上,您可以在 Megaport Portal 的创建过程中启用 IPsec,或者在其上线后编辑 MCR 以启用 IPsec。欲了解更多信息,请参阅 将 IPsec 与 MCR 配合使用

支持的密码套件

MCR 将向 IPsec 对等体提供以下密码套件。目前,这些选项不可配置。

加密

  • AES128-GCM-128

  • AES256-GCM-128

完整性

  • HMAC SHA-1

  • HMAC SHA-256

  • HMAC SHA-384

  • HMAC SHA-512

密钥交换(Diffie-Hellman 组)

  • MODP

    • Diffie-Hellman 组 2(1024 位)

    • Diffie-Hellman 组 14(2048 位)

  • ECP

    • Diffie-Hellman 组 19(256 位随机)

    • Diffie-Hellman 组 20(384 位随机)

    • Diffie-Hellman 组 21(521 位随机)

IP MTU 设置

由于加密和封装,IPsec 数据包会包含额外开销。我们建议您根据您的网络情况仔细配置 IP 最大传输单元(MTU)IP MTU(最大传输单元)指的是可以通过网络接口(VXC)发送的 IP 数据包的最大大小(以字节为单位)。 巨型数据包大于标准的 1500 字节(MTU),通常用于高性能网络以减少开销并提高效率。
。最大值取决于已协商的密码套件。 如果您未配置 IP MTU 设置,MCR 将使用以下默认值:

  • 使用 IPv4 时,比父接口 IP MTU 小 96 字节
  • 使用 IPv6 时,比父接口 IP MTU 小 116 字节

这些数值考虑了开销最大的密码套件。

使用 Megaport 和 IPsec 创建客户到客户链路

您可以使用 Megaport 服务,在您自有的两台设备之间建立 IPsec 连接。

先决条件

在创建客户到客户的 IPsec 加密链路之前,您需要:

  • 在您的每个站点部署一台支持 IPsec 的路由器。
  • 在您能够从支持 IPsec 的路由器物理连接到 Port 的位置为连接的每一端提供 Megaport Ports。

创建客户到客户加密连接

  1. 从每台支持 IPsec 的路由器,建立到一个 Megaport Port 的物理链路。
  2. 使用 VXC 连接您的 Ports。
  3. 在连接到 Megaport 的接口上创建 IPsec 连接

IPsec 客户到客户连接示意图。本图展示了一条 IPsec 加密连接的结构:从客户支持 IPsec 的路由器,连接到一个 Port,该 Port 通过 VXC 连接到另一个 Port。第二个 Port 再连接到客户的另一台支持 IPsec 的路由器。

使用 Megaport 和 IPsec 创建客户到云链路

先决条件

在创建客户到云的 IPsec 加密链路之前,您需要:

  • 一台支持 IPsec 的路由器。
  • 在您能够从支持 IPsec 的路由器物理连接到 Port 的位置,拥有一个 Megaport Port。
  • 到您的 CSP 的连接。

创建客户到云加密连接

此示例展示从客户到 AWS Direct Connect 的一条 IPsec 连接。

  1. 从您的支持 IPsec 的路由器,建立到一个 Megaport Port 的物理链路。
  2. 使用 VXC 将该 Port 连接到 CSP,本例为 AWS Direct Connect。
  3. 在您的设备与 CSP 的 VPN 服务之间创建 IPsec 隧道。

该连接将从支持 IPsec 的路由器一直到 AWS Transit Gateway 实现 IPsec 加密

IPsec 客户路由器到 AWS Transit Gateway 示意图。本图展示了一条 IPsec 加密连接的结构:从客户的支持 IPsec 的路由器,通过一条物理连接到 Megaport Port。随后使用 Virtual Cross Connect (VXC) 连接到 AWS Direct Connect 托管连接。该 Direct Connect Hosted 连接通过 Direct Connect Gateway 连接到 Transit Gateway。

使用 Megaport 和 IPsec 创建云到云链路

先决条件

在创建云到云的 IPsec 加密链路之前,您需要:

  • 已启用 IPsec 的 Megaport Cloud Router(MCR)。
  • 已通过 VXCs 建立到您的 CSP 的连接

创建云到云加密连接

此示例描述一条从 AWS Direct Connect 到 Azure ExpressRoute 的 IPsec 连接。

  1. 创建一个 VXC,将您的 Direct Connect 连接接入 MCR。
  2. 使用 VXC 将 MCR 连接到 ExpressRoute 连接。
  3. 在 AWS 和 Azure 的 VPN 服务之间创建 IPsec 隧道。
    欲了解更多信息,请参阅 将 IPsec 与 MCR 配合使用

该连接将从 AWS Transit Gateway 到 Azure Virtual Network Gateway 实现 IPsec 加密

IPsec 从 AWS Direct Connect 到 ExpressRoute Virtual Network Gateway 示意图。本图展示了一条 IPsec 加密连接的结构:从 AWS Direct Connect,通过 VXC 连接到 Megaport MCR。随后再使用 VXC 连接到 ExpressRoute 和 Virtual Network Gateway。

使用 Megaport 和 IPsec 隧道创建云到云链路

先决条件

在使用 IPsec 隧道创建云到云链路之前,您需要:

  • 已启用 IPsec 的 Megaport Cloud Router(MCR)。
  • 已通过 VXCs 建立到您的云服务提供商的连接。

创建云到云加密连接

此示例描述一条从 AWS Direct Connect 到 Azure ExpressRoute 的 IPsec 连接。

  1. 创建一个 VXC,将您的 Direct Connect 连接接入 MCR。
  2. 创建一个 VXC,将 MCR 连接到 ExpressRoute 连接。
  3. 在 MCR 与 Direct Connect 连接之间的 VXC 上创建 IPsec 隧道。 欲了解更多信息,请参阅 将 IPsec 与 MCR 配合使用
  4. 在 MCR 与 ExpressRoute 连接之间的 VXC 上创建 IPsec 隧道。 欲了解更多信息,请参阅 将 IPsec 与 MCR 配合使用

该连接将从 AWS Transit Gateway 到 Azure Virtual Network Gateway 实现 IPsec 加密

IPsec 从 AWS Direct Connect 到 ExpressRoute Virtual Network Gateway 示意图。本图展示了一条 IPsec 加密连接的结构:从 AWS Direct Connect,通过 VXC 连接到 Megaport MCR。随后再使用 VXC 连接到 ExpressRoute 和 Virtual Network Gateway。

参考资料