本文介紹如何使用公網網路類型的VPN網關在Virtual Private Cloud(Virtual Private Cloud)和本機資料中心之間建立IPsec-VPN串連(單隧道模式),並通過BGP動態路由協議自動學習路由實現VPC與本機資料中心間的資源互連,降低網路維護成本和網路設定風險。
環境要求
IPsec串連綁定公網網路類型的VPN網關執行個體時,本機資料中心的網關裝置必須配置公網IP地址。
本機資料中心的網關裝置必須支援IKEv1或IKEv2協議,支援任意一種協議的裝置均可以和轉寄路由器建立IPsec-VPN串連。
本機資料中心的網段與待訪問的網段沒有重疊。
BGP動態路由支援的地區
地區 | 地區 |
亞太地區 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、中國香港、日本(東京)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達) |
歐美地區 | 德國(法蘭克福)、英國(倫敦)、美國(維吉尼亞)、美國(矽谷) |
中東 | 阿聯酋(杜拜) |
情境樣本
本文以下圖情境為例。某公司已在德國(法蘭克福)地區建立了一個VPC,私網網段為10.0.0.0/8,自治系統號ASN(Autonomous System Number)為65530。該公司在法蘭克福擁有本機資料中心,公網IP為2.XX.XX.2,私網網段為172.17.0.0/16,ASN為65531。因業務發展,需要雲上VPC與本機資料中心互連。
您可以通過IPsec-VPN建立VPC到本機資料中心的VPN串連,並配置BGP動態路由。配置成功後,VPC和本機資料中心通過BGP動態路由協議自動學習路由實現資源互連,降低網路維護成本和網路設定風險。
在互連網中,一個自治系統AS(Autonomous System)是一個有權自主決定在本系統中應採用何種路由協議的小型單位。這個網路單位可以是一個簡單的網路也可以是一個或多個普通的網路系統管理員來控制的網路群體,它是一個單獨的可管理的網路單元。一個自治系統將會分配一個全域的唯一的號碼,這個號碼叫做自治系統號(ASN)。
準備工作
您已經在德國(法蘭克福)地區建立了VPC並部署了雲端服務。具體操作,請參見搭建IPv4專用網路。
您已經瞭解VPC中的ECS執行個體所應用的安全性群組規則,並確保安全性群組規則允許本機資料中心的網關裝置訪問雲上資源。具體操作,請參見查詢安全性群組規則和添加安全性群組規則。
配置步驟
步驟一:建立VPN網關
登入VPN網關管理主控台。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊建立VPN網關,然後單擊立即購買並完成支付。
以下僅列舉本文強相關的配置,其餘配置項保持預設值或為空白。更多資訊,請參見建立和管理VPN網關執行個體。
配置
說明
地區
選擇VPN網關的地區。
確保VPC的地區和VPN網關的地區相同。本樣本選擇德國(法蘭克福)。
網關類型
選擇VPN網關執行個體的類型。
預設值:普通型。
網路類型
選擇執行個體的網路類型。本樣本選擇公網。
隧道
系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。
單隧道
雙隧道
關於IPsec-VPN串連隧道模式的說明,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式。
專用網路
選擇要串連的VPC。本樣本選擇德國(法蘭克福)地區建立的VPC。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
虛擬交換器2
IPsec-VPN串連的隧道模式為單隧道時,無需配置該項。
IPsec-VPN
選擇是否開啟IPsec-VPN功能。 本樣本選擇開啟。
SSL-VPN
選擇是否開啟SSL-VPN功能。 本樣本選擇關閉。
建立好的VPN網關的狀態是準備中,約1~5分鐘左右會變更為正常。正常狀態表明VPN網關已經完成了初始化,可以正常使用。VPN網關建立後,系統會為VPN網關自動分配一個公網IP地址用於建立VPN串連。
如果您沒有建立新的VPN網關,計劃使用存量的VPN網關實現本文情境,請確保您存量的VPN網關已升級至最新版本。如果您存量VPN網關不是最新版本,預設您無法使用BGP動態路由功能。
您可以在升級按鈕處查看VPN網關是否是最新版本,如果不是最新版本,您可以通過升級按鈕進行升級。具體操作,請參見升級VPN網關。
步驟二:開啟BGP
BGP用於在不同的自治系統(AS)之間交換路由資訊。使用BGP動態路由功能前,您需要為VPN網關開啟BGP功能。
在左側導覽列,選擇。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,找到已建立的VPN網關,在路由自動傳播列開啟路由自動傳播功能。
開啟後,VPN網關會將BGP路由條目自動傳播到VPC中。
步驟三:建立使用者網關
您可以通過建立使用者網關,將本機資料中心的公網IP地址和BGP AS號註冊到阿里雲上。
在左側導覽列,選擇。
在頂部功能表列,選擇使用者網關的地區。
說明使用者網關的地區必須和VPN網關執行個體的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊配置使用者網關,然後單擊確定。
以下僅列舉本文強相關配置項,其餘配置保持預設值或為空白。更多資訊,請參見建立和系統管理使用者網關。
配置
說明
IP地址
輸入本機資料中心網關裝置的公網IP地址。本樣本輸入2.XX.XX.2。
自治系統號
輸入本機資料中心的自治系統號。本樣本輸入65531。
步驟四:建立IPsec串連
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec串連執行個體的地區。
說明IPsec串連執行個體的地區必須和VPN網關執行個體的地區相同。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊建立IPsec串連,然後單擊確定。
以下僅列舉本文強相關配置項,其餘配置保持預設值或為空白。更多資訊,請參見建立和管理IPsec串連(單隧道模式)。
配置
說明
綁定資源
選擇IPsec串連綁定的資源類型。
本文選擇VPN網關。
VPN網關
選擇要串連的VPN網關。
選擇步驟一中建立的VPN網關。
路由模式
選擇路由模式。
IPsec串連支援目的路由模式和感興趣流模式。在IPsec串連使用BGP動態路由協議的情況下,推薦使用目的路由模式。本樣本選擇目的路由模式。
立即生效
選擇是否立即生效。
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
本樣本選擇是。
使用者網關
選擇要串連的使用者網關。
選擇步驟三中建立的使用者網關。
預先共用金鑰
輸入預先共用金鑰。
請確保要建立的IPsec串連側和本機資料中心網關裝置的預先共用金鑰一致。本樣本輸入123456****。
啟用BGP
如果IPsec串連需要使用BGP路由協議,需要開啟BGP功能的開關,系統預設關閉BGP功能。
本樣本開啟BGP功能。
本端自治系統號
輸入隧道本端的自治系統號。預設值:45104。
本樣本輸入65530。
加密配置
除以下參數外,其餘配置項保持預設值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據本地網關裝置的支援情況選擇加密配置參數,確保IPsec串連和本地網關裝置的加密配置保持一致。
BGP配置
隧道網段
輸入IPsec隧道的網段。本樣本輸入169.254.10.0/30。
本端BGP地址
輸入本端BGP地址,該地址為隧道網段內的一個IP地址。本樣本輸入169.254.10.1。
在建立成功對話方塊中,單擊取消。
步驟五:在本地網關裝置中添加VPN配置
建立IPsec串連後,您還需要在本地網關裝置中載入VPN配置,才能建立VPC到本機資料中心的VPN串連。
下載本地網關裝置需要添加的VPN配置。具體操作,請參見下載IPsec串連配置。
在本地網關裝置中添加VPN配置。具體操作,請參見思科防火牆配置樣本。
請查閱文檔“單隧道配置樣本”部分。
IPsec-VPN串連建立成功後,雲上雲下會自動通過BGP動態路由協議傳播路由:
您在本地網關裝置中通過BGP宣告本機資料中心的網段後,雲上VPN網關會將通過BGP學習到的本機資料中心的路由自動傳播到VPC的系統路由表中。您可以在VPC系統路由表的動態路由條目頁簽下查看路由條目資訊。
雲上VPN網關自動學習VPC系統路由表中的系統路由條目,並自動傳播給本地網關裝置。
步驟六:測試連通性
登入到VPC內一台ECS執行個體。關於如何登入ECS執行個體,請參見ECS遠端連線方式概述。
通過
ping命令,訪問本機資料中心的用戶端,驗證通訊是否正常。經驗證,VPC ECS執行個體可以正常訪問本機資料中心的用戶端。
登入本機資料中心用戶端。
通過
ping命令,訪問VPC下的ECS執行個體,驗證通訊是否正常。經驗證,本機資料中心用戶端可以正常訪問VPC ECS執行個體。
