本文指導您使用VPC NAT Gateway聯動VPN網關實現雲上VPC與本機資料中心IDC(Internet Data Center)通過指定私網IP地址互訪。
情境樣本
本文以下圖情境為例。某企業在華北1(青島)地區擁有一個名稱為VPC1的Virtual Private Cloud(Virtual Private Cloud)。該企業在華北2(北京)地區擁有本地IDC。因業務發展,企業需要VPC1能以指定私網IP地址訪問本地IDC,本地IDC也能以指定私網IP地址訪問VPC1。
企業計劃使用VPC NAT產品聯動VPN網關產品實現上述需求。
您可以通過VPN網關的IPsec-VPN串連,建立本地IDC與雲上VPC的串連,實現雲上和雲下的安全互連;通過VPC NAT Gateway的SNAT和DNAT功能,實現VPC內指定IP地址與本地IDC互訪。本文樣本中的網段規劃如下表所示。您也可以自行規劃網段,請確保您的網段之間沒有重疊。
配置項 | 位址區段 |
雲上VPC1網段 | 10.0.0.0/16 |
雲上交換器網段 |
|
雲上ECS執行個體的IP地址 | ECS1:10.0.0.81 |
本地IDC網段 | 172.16.0.0/12 |
本地IDC內伺服器IP地址 | 172.16.0.124 |
本地IDC網關裝置IP地址 | 211.68.XX.XX |
前提條件
配置步驟
步驟一:配置IPsec-VPN
通過IPsec-VPN功能可建立VPC與本地IDC之間的VPN串連。使用IPsec-VPN功能,您需要建立VPN網關、使用者網關和IPsec串連。關於IPsec-VPN功能的更多資訊,請參見入門概述。
登入VPN網關管理主控台。
執行以下操作,建立VPN網關。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,配置以下參數資訊,然後單擊立即購買並完成支付。
參數
說明
執行個體名稱
輸入VPN網關執行個體的名稱。
地區
選擇VPN網關執行個體所屬的地區。本文選擇華北1(青島)。
網關類型
預設為普通型。
專用網路
選擇要串連的VPC執行個體。本文選擇VPC1。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體,本文選擇VSW1。
虛擬交換器2
從VPC執行個體中選擇一個交換器執行個體,本文選擇VSW2。
頻寬峰值
選擇VPN網關執行個體的公網頻寬峰值。單位為Mbps。
本文選擇5 Mbps。
流量
VPN網關預設按使用流量計費。更多資訊,請參見計費說明。
IPsec-VPN
選擇是否開啟IPsec-VPN功能。本文選擇開啟。
SSL-VPN
選擇是否開啟SSL-VPN功能。本文選擇關閉。
購買時間長度
VPN網關預設按小時計費。
返回VPN網關頁面,查看已建立的VPN網關執行個體。
建立好的VPN網關執行個體初始狀態為準備中,約1~5分鐘會變為正常狀態,表明VPN網關執行個體已經完成初始化,可以正常使用。
執行以下操作,建立使用者網關。
在左側導覽列,選擇。
在頂部功能表列,選擇建立使用者網關執行個體的地區。本文選擇華北1(青島)。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,配置以下參數資訊,然後單擊確定。
參數
說明
名稱
輸入使用者網關執行個體的名稱。
IP地址
輸入VPC1要串連的本地IDC的網關裝置的公網IP。本文輸入211.68.XX.XX。
自治系統號
輸入本機資料中心網關裝置的自治系統號。
描述
輸入使用者網關執行個體的描述資訊。
更多參數資訊,請參見建立和系統管理使用者網關。
執行以下操作,建立IPsec串連。
在左側導覽列,選擇。
在頂部功能表列,選擇建立IPsec串連執行個體的地區。本文選擇華北1(青島)。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,配置以下參數資訊,然後單擊確定。
參數
說明
名稱
輸入IPsec串連的名稱。
綁定資源
選擇VPN網關。
VPN網關
選擇已建立的VPN網關。
路由模式
選擇路由模式。本文選擇目的路由模式。
立即生效
選擇是否立即生效。
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
本文保持預設選擇。
Tunnel1>使用者網關
選擇需要關聯的使用者網關。
Tunnel2>使用者網關
選擇需要關聯的使用者網關。
預先共用金鑰
輸入共用密鑰。建立IPsec串連需保證該值與本地網關裝置的預先共用金鑰一致。如果不輸入該值,系統預設產生一個16位的隨機字串。
步驟二:在本地網關裝置中載入VPN配置
使用IPsec-VPN建立VPC到本地IDC的串連時,在配置完阿里雲VPN網關後,您還需在本地IDC的網關裝置中進行VPN配置。
在左側導覽列,選擇。
在IPsec串連頁面,找到目標IPsec串連執行個體,然後在操作列單擊產生對端配置。
根據本地網關裝置的配置要求,將下載的配置添加到本地網關裝置中。具體操作,請參見本地網關配置。
步驟三:建立VPC NAT Gateway
- 登入NAT Gateway管理主控台。
- 在左側導覽列,選擇。
- 在VPC NAT Gateway頁面,單擊建立VPC NAT Gateway。
在VPC NAT Gateway(隨用隨付)頁面,配置以下參數資訊,然後單擊立即購買。
參數
說明
地區
選擇需要建立VPC NAT Gateway執行個體的地區。本文選擇華北1(青島)。
VPC ID
選擇VPC NAT Gateway執行個體所屬的VPC。建立VPC NAT Gateway執行個體後,不能修改其所屬的VPC。本文選擇VPC1。
可用性區域
選擇VPC NAT Gateway執行個體所屬的可用性區域。本文選擇VSW2的可用性區域。
交換器ID
選擇VPC NAT Gateway執行個體所屬的交換器,建議您選擇獨立的交換器。本文選擇VSW2。
執行個體名稱
設定VPC NAT Gateway執行個體的名稱。
服務關聯角色
顯示是否已有VPC NAT Gateway的服務關聯角色。
首次使用NAT Gateway(包含公網NAT Gateway和VPC NAT Gateway),需要單擊建立服務關聯角色完成建立。
返回VPC NAT Gateway頁面,查看已建立的VPC NAT Gateway。
單擊VPC NAT Gateway的執行個體ID,在基本資料頁簽,查看VPC NAT Gateway的VPC、交換器等資訊。
單擊NAT IP頁簽,查看預設NAT IP位址區段和預設NAT IP地址。
說明預設NAT IP位址區段為該VPC NAT Gateway所屬交換器的網段,預設NAT IP地址為系統在交換器網段中隨機分配的一個IP地址。預設NAT IP位址區段和預設NAT IP地址均不能刪除。
步驟四:為VPC1的系統路由表添加路由條目
為VPC1的系統路由表添加指向VPC NAT Gateway的路由條目。
- 登入專用網路管理主控台。
在專用網路,找到VPC1,然後單擊VPC的ID。
在VPC詳情頁面,單擊資源管理頁簽,單擊路由表下方的連結。
在路由表頁面,找到路由表類型為系統的路由表,單擊其ID。
在路由表詳情頁面,選擇頁簽,然後單擊添加路由條目。
在添加路由條目面板,配置以下參數,然後單擊確定。
參數
說明
名稱
輸入路由條目的名稱。本文輸入VPCENTRY。
目標網段
輸入要轉寄到的目標網段。本文輸入本地IDC內伺服器IP地址,172.16.0.124/32。
下一跳類型
選擇下一跳的類型。本文選擇NAT Gateway。
NAT Gateway
選擇具體的NAT Gateway執行個體。本文選擇步驟三:建立VPC NAT Gateway建立的VPC NAT Gateway。
步驟五:建立自訂路由表並添加路由條目
為VSW2交換器建立自訂路由表並添加指向VPN網關的路由條目。
關於支援建立自訂路由表的地區資訊,請參見自訂路由表發布及地區支援情況。
- 登入專用網路管理主控台。
- 在左側導覽列,單擊路由表。
- 在頂部功能表列,選擇路由表所屬的地區。
- 在路由表頁面,單擊建立路由表。
在建立路由表頁面,配置以下參數,然後單擊確定。
參數
說明
資源群組
選擇路由表所屬的資源群組。本文選擇全部。
專用網路
選擇路由表所屬的VPC。本文選擇VPC1。
名稱
輸入路由表的名稱。本文輸入VPNVTB。
描述
輸入路由表的描述。本文輸入VPCNAT的自訂路由表。
單擊已綁定交換器頁簽,然後單擊綁定交換器。
在綁定交換器對話方塊,選擇要綁定的交換器,然後單擊確定。
本文選擇VSW2交換器。
在路由表詳情頁面,選擇頁簽,然後單擊添加路由條目。
在添加路由條目面板,配置以下參數,然後單擊確定。
參數
說明
名稱
輸入路由條目的名稱。本文輸入VPCNATENTRY。
目標網段
輸入要轉寄到的目標網段。本文輸入本地IDC內伺服器IP地址,172.16.0.124/32。
下一跳類型
選擇下一跳的類型。本文選擇VPN網關。
VPN網關
選擇具體的VPN網關執行個體。本文選擇步驟一:配置IPsec-VPN建立的VPN網關。
步驟六:使用預設NAT IP建立SNAT條目和DNAT條目
- 登入NAT Gateway管理主控台。
- 在左側導覽列,選擇。
- 在頂部功能表列,選擇公網NAT Gateway的地區。
執行以下步驟,建立SNAT條目。
- 在VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體,然後在操作列單擊SNAT管理。
- 在SNAT管理頁簽,單擊建立SNAT條目。
在建立SNAT條目頁面,配置以下參數資訊,然後單擊確定建立。
參數
說明
SNAT條目粒度
選擇SNAT條目的粒度。本文選擇交換器粒度,然後在選擇交換器列表中選擇ECS1所在交換器。本文選擇VSW1。交換器網段處會顯示VSW1的網段。
選擇NAT IP地址
在下拉式清單中選擇用來訪問外部私人網路的NAT IP地址。本文選擇預設NAT IP地址。
條目名稱
SNAT條目的名稱。
名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-)。
返回VPC NAT Gateway頁面,然後執行以下操作,建立DNAT條目。
- 在VPC NAT Gateway頁面,找到目標VPC NAT Gateway執行個體,然後在操作列單擊DNAT管理。
- 在DNAT管理頁簽,單擊建立DNAT條目。
在建立DNAT條目頁面,配置以下參數資訊,然後單擊確定建立。
參數
說明
選擇NAT IP地址
選擇供外部私人網路訪問的NAT IP地址。本文選擇預設NAT IP地址。
選擇私網IP地址
選擇要通過DNAT規則進行通訊的私網IP地址。本文以通過ECS或彈性網卡進行選擇方式,選擇ECS1的私網IP地址。
連接埠設定
選擇DNAT映射的方式。本文選擇具體連接埠,即連接埠映射方式。
前端連接埠輸入22,後端連接埠輸入22,協議類型選擇TCP。
條目名稱
輸入DNAT條目的名稱。
名稱長度為2~128個字元,以大小寫字母或中文開頭, 可包含數字、底線(_)和短劃線(-)。
步驟七:配置VPN網關的路由
您需要在VPN網關中配置路由,並發布路由到VPC路由表以實現本地IDC和VPC的通訊。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在左側導覽列,選擇。
在VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,配置以下參數資訊,然後單擊確定。
參數
說明
目標網段
輸入本機資料中心的私網網段。本文輸入本地IDC的網段,172.16.0.0/12。
下一跳類型
選擇IPsec串連。
下一跳
選擇IPsec串連執行個體。本文選擇步驟一:配置IPsec-VPN建立的IPsec串連。
發布到VPC
選擇是否將新添加的路由發布到VPC路由表。本文選擇是。
權重
選擇路由的權重值。本文選擇100。
100:高優先順序。
0:低優先順序。
步驟八:測試連通性
登入VSW1的ECS1。具體操作,請參見串連方式概述。
執行
ping 本地IDC內伺服器IP地址命令,測試ECS1是否能訪問本地IDC內的伺服器。本文執行以下命令。
ping 172.16.0.124經測試,ECS1可以訪問本地IDC內的伺服器。
登入本地IDC內的伺服器,執行
ssh root@NAT IP命令,此處的NAT IP為VPC NAT Gateway的預設NAT IP地址,然後輸入ECS1的登入密碼,測試本地IDC內的伺服器是否可以遠端連線到ECS1。本文執行以下命令。
ssh 10.0.1.43經測試,本地IDC內的伺服器可以通過VPC NAT Gateway的DNAT功能訪問ECS1。
