在IPsec串連綁定轉寄路由器執行個體的情境下,IPsec-VPN可以在本機資料中心與轉寄路由器間建立網路連接,使本機資料中心可以通過轉寄路由器訪問其他網路。
環境要求
使用IPsec-VPN功能建立本機資料中心與轉寄路由器的網路連接前,請確保您的環境滿足以下條件:
公網網路類型的IPsec串連綁定轉寄路由器執行個體時,本機資料中心的網關裝置必須配置公網IP地址。
對於支援IPsec-VPN串連雙隧道模式的地區,推薦本機資料中心的網關裝置配置2個公網IP地址或者本機資料中心擁有兩個本地網關裝置,每個本地網關裝置均擁有一個公網IP地址,以建立高可用的IPsec-VPN串連。關於支援IPsec-VPN串連雙隧道模式的地區資訊,請參見綁定VPN網關情境雙隧道IPsec-VPN串連說明。
本機資料中心的網關裝置必須支援IKEv1或IKEv2協議,支援任意一種協議的裝置均可以和轉寄路由器建立IPsec-VPN串連。
本機資料中心的網段與待訪問的網段沒有重疊。
本機資料中心要訪問的網路內如果存在存取控制等安全性原則,需要調整安全性原則允許本機資料中心的訪問。
使用限制
目前,多個地區下的IPsec串連支援綁定轉寄路由器執行個體。關於支援的地區詳情,請參見IPsec-VPN功能支援的地區。
在IPsec串連綁定轉寄路由器的情境下,IPsec串連僅支援綁定企業版轉寄路由器執行個體。
使用流程
配置步驟序號 | 配置步驟及操作文檔連結 | 配置步驟說明 |
1 | 雲企業網執行個體是轉寄路由器執行個體的載體,建立轉寄路由器執行個體前需要建立一個雲企業網執行個體。 | |
2 | 轉寄路由器執行個體是地區範圍內的核心轉寄網元,您需要在本機資料中心所在的阿里雲地區或者本機資料中心臨近的阿里雲地區建立轉寄路由器執行個體。 重要 建立轉寄路由器執行個體時,需為轉寄路由器執行個體配置轉寄路由器位址區段,否則IPsec串連無法成功綁定轉寄路由器執行個體。 如果您已經建立了轉寄路由器執行個體,您可以單獨為轉寄路由器執行個體添加轉寄路由器位址區段。具體操作,請參見添加轉寄路由器位址區段。 | |
3 | 通過建立使用者網關,將本地網關裝置的資訊(例如IP地址、BGP AS號)註冊到阿里雲上。 | |
4 | 一個IPsec串連表示一條本機資料中心和轉寄路由器之間的加密通訊通道。 建立IPsec串連時,綁定資源需選擇為Cloud Enterprise Network或者不綁定。 | |
5 | 本地網關裝置需添加VPN配置,以便和IPsec串連協商建立IPsec-VPN串連。 | |
6 | 您需要在IPsec串連中配置去往本機資料中心的路由,並將路由發布至轉寄路由器執行個體的路由表中以實現本機資料中心和轉寄路由器之間的流量互連。 | |
7 | 測試連通性 | 登入本機資料中心的一台伺服器,通過ping命令,ping目標網路內的一台伺服器的私網IP地址,驗證通訊是否正常。 |