VPN网关

VPN网关是一款网络连接服务，通过建立加密隧道的方式实现企业本地数据中心、企业办公网络、互联网客户端与阿里云专有网络VPC（Virtual Private Cloud）之间安全可靠的私网连接。

优势：成本低，部署快，
劣势：稳定性差一些，依赖公网质量，

SSL-VPN
IPsec-VPN
应用场景：
VPC和VPC之间的通信
VPC和客户端的线下IDC之间的网络通信

Ipsec(Internet Protocol Security) VPN
原理是在ip层通过数据来源认证，数据加密，数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性

使用流程

https://help.aliyun.com/document_detail/110803.html?spm=a2c4g.2365776.0.0.61285fa5NMwcHv

知识点:

路由模式
目的路由模式:用户无需手动配置VPN感兴趣流，此处默认配置为0.0.0.0/0,用户需额外配置策略路由或目的路由引流到IPsec连接内，
感兴趣流模式:用户需手动指定云上和云下感兴趣流网段，且在配置完成后会自动生成关于此IPsec连接的策略路由

Ike配置
Ike版本
IKEv1:感兴趣流只支持一对，IKEv2:支持多个源目感兴趣流

协商模式:
主模式，
野蛮模式:发起方和响应方只有3次交互,主模式有6次，更简单，如果发起方的ip 地址不固定或者未知，而双方都希望采用预共享密钥验证方法来创建IKE SA，建议使用野蛮模式

加密算法
认证算法
lifetime:隧道存活周期
DH组:HD算法

IPsec配置
生效配置，是:立即生效，否:基于流量生效

案例：
通过IPsec-VPN建立VPC到VPC连接

https://help.aliyun.com/document_detail/65073.html?spm=a2c4g.2358943.0.0.19b0252atuaGGe
VPN-CEN实现方案
https://help.aliyun.com/document_detail/463130.html?spm=a2c4g.463130.0.0.2bea13c8nX2RnV

安全：使用IKE和IPsec协议对传输进行加密，保证数据传输安全可靠，默认双隧道高可用，隧道故障自动切换

VPN网关 VPN网关归属于VPC
IPsec 连接attach在TR转发路由器

用户网关 选择IPsec连接关联的用户网关，用户网关就是对端VPN网关

感兴趣流模式：基于源ip地址和目标IP地址精确的路由和转发流量
目的路由模式：基于目的IP地址路由和转发流量
目的路由模式是一种特殊的感兴趣流（0.0.0.0/0，0,0,0,0/0)

感兴趣流为应受到IPsec隧道保护待加密的数据流网段范围
本段网段：阿里云侧的网段，用于第二阶段协商
对端网段：云下侧网段，用于第二阶段协商
备注：阿里云VPN仅IKE2支持多个网段

身份认证方式：预共享密钥：IPsec连接的认证密钥，两端需一致
数字认证：仅支持国密

协议：
ipsec-VPN 工作原理IKV1
第一阶段协商：建立安全隧道，身份验证
第二阶段协商：建立Ipsec SA

什么时候选择野蛮模式
如果发起方的IP地址不固定或者无法预知，而
双方都希望采用预共享密钥验证方式来创建IKE SA
则推荐采用野蛮模式

ipsec-VPN 工作原理IKV2
IKev2 在保证安全性的前提下，减少了传递信息的次数

VPN转发原理
VPC ECS ECS安全组 vswitch1 查看VSW路由 VSWICH VPN网关1 --查看VPN路由 VPN2 VSWitch2 查看路由 ECS安全组 ECS VPC