本文介紹如何使用公網網路類型的VPN網關在Virtual Private Cloud(Virtual Private Cloud)和本機資料中心之間建立IPsec-VPN串連(單隧道模式),實現本機資料中心與VPC之間的加密通訊。
環境要求
IPsec串連綁定公網網路類型的VPN網關執行個體時,本機資料中心的網關裝置必須配置公網IP地址。
本機資料中心的網關裝置必須支援IKEv1或IKEv2協議,支援任意一種協議的裝置均可以和轉寄路由器建立IPsec-VPN串連。
本機資料中心的網段與待訪問的網段沒有重疊。
情境樣本
本文以下圖情境樣本。某公司在阿里雲建立了VPC,網段為192.168.0.0/16。本機資料中心的網段為172.16.0.0/12,本地網關裝置的公網IP為211.XX.XX.68。公司因業務發展,需要本機資料中心與雲上VPC互連。您可以通過IPsec-VPN,建立本機資料中心與雲上VPC的串連,實現雲上和雲下的加密通訊。
準備工作
您已經在阿里雲建立了VPC,VPC中使用Elastic Compute Service(Elastic Compute Service)部署了相關業務。具體操作,請參見搭建IPv4專用網路。
您已經瞭解VPC中的ECS執行個體所應用的安全性群組規則,並確保安全性群組規則允許本機資料中心的網關裝置訪問雲上資源。具體操作,請參見查詢安全性群組規則和添加安全性群組規則。
步驟一:建立VPN網關
- 登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關的地區。
VPN網關的地區需和待關聯的VPC執行個體的地區相同。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。
配置項
說明
執行個體名稱
輸入VPN網關執行個體的名稱。
本文輸入VPN網關1。
資源群組
選擇VPN網關執行個體所屬的資源群組。如果不選擇,VPN網關執行個體建立後將歸屬於預設資源群組。
本文保持為空白。
地區
選擇VPN網關執行個體所屬的地區。
說明請確保VPN網關執行個體的地區和VPC執行個體的地區相同。
網關類型
選擇VPN網關執行個體的類型。
預設值:普通型。
網路類型
選擇VPN網關執行個體的網路類型。
本文選擇公網。
隧道
系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。
單隧道
雙隧道
關於IPsec-VPN串連隧道模式的說明,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式。
專用網路
選擇VPN網關執行個體關聯的VPC執行個體。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
虛擬交換器2
IPsec-VPN串連的隧道模式為單隧道時,無需配置該項。
頻寬峰值
選擇VPN網關執行個體的公網頻寬峰值。單位:Mbps。
流量
VPN網關執行個體的計費方式。預設值:按流量計費。
更多資訊,請參見計費說明。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。
本文選擇開啟。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。
本文選擇關閉。
購買時間長度
VPN網關的計費周期。預設值:按小時計費。
服務關聯角色
單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已建立,則表示您的帳號下已建立了該角色,無需重複建立。
更多參數資訊,請參見建立VPN網關執行個體。
返回VPN網關頁面,查看建立的VPN網關。
剛建立好的VPN網關的狀態是準備中,約1~5分鐘左右會變成正常狀態。正常狀態表明VPN網關已經完成了初始化,可以正常使用。
步驟二:建立使用者網關
在左側導覽列,選擇。
在頂部功能表列,選擇使用者網關的地區。
說明使用者網關的地區必須和要串連的VPN網關的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊配置使用者網關,然後單擊確定。
以下僅列舉本文強相關配置項,其餘配置保持預設值或為空白。更多資訊,請參見建立和系統管理使用者網關。
名稱:輸入使用者網關的名稱。
本文輸入使用者網關1。
IP地址:輸入VPC要串連的本機資料中心的網關裝置的公網IP。
本文輸入211.XX.XX.68。
步驟三:建立IPsec串連
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec串連的地區。
說明IPsec串連的地區必須和要串連的VPN網關的地區相同。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
配置項
配置項說明
名稱
輸入IPsec串連的名稱。
本文輸入IPsec串連1。
資源群組
選擇VPN網關執行個體所屬的資源群組。
本文選擇預設資源群組。
綁定資源
選擇IPsec串連綁定的資源類型。
本文選擇VPN網關。
VPN網關
選擇已建立的VPN網關執行個體。
本文選擇VPN網關1。
路由模式
選擇路由模式。
本文選擇目的路由模式。
立即生效
選擇是否立即生效。
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
本文選擇是。
使用者網關
選擇已建立的使用者網關執行個體。
本文選擇使用者網關1。
啟用BGP
如果IPsec串連需要使用BGP路由協議,需要開啟BGP功能的開關,系統預設關閉BGP功能。
本文不開啟BGP功能。
預先共用金鑰
輸入預先共用金鑰。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec串連。
重要IPsec串連及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。
加密配置
本文使用IKEv1版本,其他選項使用預設配置。更多資訊,請參見建立和管理IPsec串連(單隧道模式)。
健全狀態檢查
本文保持預設值,不為IPsec串連配置健全狀態檢查。
標籤
為IPsec串連添加標籤。
本文保持為空白。
在建立成功對話方塊中,單擊確定。
步驟四:在本地網關裝置中載入VPN配置
在左側導覽列,選擇。
在IPsec串連頁面,找到目標IPsec串連執行個體,然後在操作列單擊產生對端配置。
根據本地網關裝置的配置要求,將下載的配置添加到本地網關裝置中。具體操作,請參見本地網關配置。
步驟五:配置VPN網關路由
在左側導覽列,選擇。
在VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下資訊配置目的路由,然後單擊確定。
配置項
配置說明
目標網段
輸入待互連的目標網段。
本文輸入172.16.0.0/12。
下一跳類型
選擇下一跳的類型。
本文選擇IPsec串連。
下一跳
選擇IPsec串連。
發布到VPC
選擇是否將新添加的路由條目發布到VPN網關關聯的VPC路由表。
本文選擇是。
權重
選擇路由條目的權重值。
100:高優先順序。
0:低優先順序。
本文保持預設值100。
步驟六:測試連通性
登入到VPC內一台無公網IP的ECS執行個體。關於如何登入ECS執行個體,請參見串連方式概述。
執行ping命令,訪問本機資料中心內的一台伺服器,驗證通訊是否正常。
如果能夠收到回複報文,則證明通訊正常。