多網段互連 - VPN Gateway

本文介紹使用IPsec-VPN串連實現多網段互連時的配置建議，且匯總多網段互連過程的常見問題。

多網段配置建議

IPsec串連及其對端網關裝置建議使用IKEv2版本。
說明
如果對端網關裝置不支援IKEv2版本，則IPsec串連及其對端網關裝置可以使用IKEv1版本。在IPsec串連使用IKEv1版本的情境下，一個IPsec串連僅支援配置一個本地端網段和一個對端網段，您可以參考多網段配置方案推薦進行配置，以實現多網段互連。
如果IPsec串連的對端使用的是思科、華三等傳統廠商的裝置，則配置建議如下：
- 由於阿里雲IPsec串連側IKE配置階段以及IPsec配置階段的密碼編譯演算法、認證演算法、DH分組均僅支援指定一個值，因此您在對端網關裝置上添加VPN配置時，IKE配置階段以及IPsec配置階段的密碼編譯演算法、認證演算法、DH分組（PFS）也都只能指定一個值，且需和IPsec串連側相同。
- 如果IPsec串連開啟了DPD功能，則對端網關裝置需使用標準的DPD功能。
- IPsec串連和對端網關裝置配置的SA（Security Association）生存周期需相同。
  如果對端網關裝置支援配置指定基於流量的SA生存周期，則需要將對端網關裝置基於流量的SA生存周期配置為最大值，部分廠商可配置0位元組作為最大值。

多網段配置方案推薦

本機資料中心和VPC（Virtual Private Cloud）通過IPsec-VPN串連實現多網段互連時，推薦使用以下配置方案。

方案	適用的IKE版本	方案說明	方案優勢或限制	配置樣本
方案一（推薦）	IKEv1 IKEv2	本機資料中心和VPC之間建議使用一個IPsec-VPN串連進行串連，IPsec串連使用目的路由的路由模式，IPsec串連對端的網關裝置配置源網段為`0.0.0.0/0`、目的網段為`0.0.0.0/0`的感興趣流，然後通過在VPN網關和本機資料中心配置BGP動態路由或者靜態路由控制流程量轉寄。	方案優勢：後續如果需要新增或刪除待互連的網段，您僅需要調整路由的配置，無須修改IPsec-VPN串連的配置。在您新增或刪除待互連的網段時，IPsec-VPN串連不會中斷，對其餘路由下的流量也不會產生影響。	方案一配置樣本
方案二（次選）	IKEv1 IKEv2	本機資料中心和VPC之間建議使用一個IPsec-VPN串連進行串連，將本機資料中心側和VPC側待互連的網段分別彙總為1個網段，然後為IPsec串連和對端網關裝置配置彙總網段。	方案限制：後續如果有新增或刪除的網段，您可能需要重新指定彙總網段，然後重新為IPsec串連及其對端網關裝置進行配置，此操作會導致IPsec-VPN串連重新協商，造成短暫的流量中斷。	方案二配置樣本
方案三	IKEv1 IKEv2	在本機資料中心和VPC之間建立多個IPsec-VPN串連，每個網段使用一個IPsec-VPN串連互連，同時多個IPsec串連需滿足以下條件：多個IPsec串連需關聯同一個VPN網關和同一個使用者網關。多個IPsec串連的預先共用金鑰以及IKE配置階段的所有參數配置（包含版本、協商模式、密碼編譯演算法、認證演算法、DH分組、SA生存周期（秒））需相同。每個IPsec串連側的LocalId需和IPsec串連對端網關裝置的RemoteId相同；每個IPsec串連側的RemoteId需和對端網關裝置的LocalId相同。說明如果一個VPN網關執行個體下存在多個IPsec串連，多個IPsec串連關聯相同的使用者網關，且多個IPsec串連的IKE版本相同，則這些IPsec串連就會共用一階段。在共用一階段情境下，所有IPsec串連的預先共用金鑰以及IKE配置階段的所有參數配置（包含版本、協商模式、密碼編譯演算法、認證演算法、DH分組、SA生存周期（秒））需相同，以確保在IPsec協議協商時可以共用任意一個IPsec串連IKE配置階段的配置。	方案限制：後續如果需要修改互連的網段，您需要修改IPsec串連和對端網關裝置的配置，此操作會導致IPsec-VPN串連重新協商，造成短暫的流量中斷。	方案三配置樣本

多網段配置方案樣本

方案一配置樣本

以下圖情境為例。VPC下的多個網段（10.1.1.0/24和10.1.2.0/24）需要和本機資料中心下的多個網段（192.168.1.0/24和192.168.2.0/24）互連。推薦配置如下：

在阿里雲側配置IPsec串連時，IPsec串連的路由模式使用目的路由模式。具體操作，請參見建立IPsec串連。
在VPN網關執行個體下添加路由配置時，推薦使用原則路由，並添加相關路由配置。具體操作，請參見配置策略路由。
在本地網關裝置上添加源網段為0.0.0.0/0、目的網段為0.0.0.0/0的感興趣流。具體命令，請諮詢本地網關裝置所屬廠商。

多網段方案一樣本..png

方案二配置樣本

樣本1

以下圖情境為例。VPC下的多個網段（10.1.1.0/24和10.1.2.0/24）需要和本機資料中心下的多個網段（192.168.1.0/24和192.168.2.0/24）互連。推薦配置如下：

在阿里雲側配置IPsec串連時，IPsec串連的路由模式使用感興趣流模式，IPsec串連本端網段配置為VPC下的彙總網段10.1.0.0/16，對端網段配置為本機資料中心下的彙總網段192.168.0.0/16。具體操作，請參見建立IPsec串連。
IPsec串連的路由模式為感興趣流模式時，系統會自動在VPN網關執行個體的策略路由表下添加源網段為IPsec串連本端網段，目標網段為IPsec串連對端網段的策略路由，下一跳指向IPsec串連。預設狀態下該策略路由未被發布至VPC中。
如果您選擇使用預設的策略路由，需要把該策略路由發布至VPC中。如果您需要自訂策略路由，請刪除系統自動添加的策略路由，然後根據需要重新設定。相關操作，請參見配置策略路由。

多網段方案二樣本1..png

樣本2

以下圖情境為例。VPC下的多個網段（10.1.1.0/24和10.1.2.0/24）需要和本機資料中心下的多個網段（192.168.1.0/24和172.16.1.0/24）互連。推薦配置如下：

在阿里雲側配置IPsec串連時，IPsec串連的路由模式使用感興趣流模式，IPsec串連本端網段配置為VPC下的彙總網段10.1.0.0/16，對端網段配置為0.0.0.0/0。具體操作，請參見建立IPsec串連。
說明
本機資料中心的兩個網段並不鄰近，無法進行有效彙總，此種情境下IPsec串連的對端網段建議填寫為0.0.0.0/0。
IPsec串連的路由模式為感興趣流模式時，系統會自動在VPN網關執行個體的策略路由表下添加源網段為IPsec串連本端網段，目標網段為IPsec串連對端網段的策略路由，下一跳指向IPsec串連。預設狀態下該策略路由未被發布至VPC中。
不建議在策略路由表中配置0.0.0.0/0網段的路由，因此建議您刪除系統自動添加的策略路由，然後重新添加更為明細的策略路由。具體操作，請參見配置策略路由。

多網段方案二樣本2..png

方案三配置樣本

以下圖情境為例。VPC下的多個網段（10.1.1.0/24和10.1.2.0/24）需要和本機資料中心下的多個網段（192.168.1.0/24和172.16.1.0/24）互連。推薦配置如下：

在阿里雲側建立多個IPsec串連，IPsec串連的路由模式均使用感興趣流模式，每個IPsec串連下配置一個本端網段和一個對端網段。具體操作，請參見建立IPsec串連。
IPsec串連的路由模式為感興趣流模式時，系統會自動在VPN網關執行個體的策略路由表下添加源網段為IPsec串連本端網段，目標網段為IPsec串連對端網段的策略路由，下一跳指向IPsec串連。預設狀態下該策略路由未被發布至VPC中。
您需要將系統自動添加的4個策略路由發布至VPC中。具體操作，請參見配置策略路由。

多網段方案三樣本..png

常見問題

為什麼IPsec串連狀態為“第二階段協商成功”，但是多網段情境下部分網段通訊正常，部分網段通訊不正常？

原因

在使用IPsec-VPN串連實現本機資料中心和VPC互連的情境中，如果VPN網關與思科、華三等傳統廠商的裝置對接，在IPsec串連使用感興趣流的路由模式且配置了多網段的情況下，僅一個網段可以互連，其餘網段不通。

當前現象是阿里雲VPN網關與思科、華三等傳統廠商的裝置對接時，兩端IPsec協議不相容導致的。在IPsec串連配置多網段的情況下，阿里雲VPN網關使用一個SA與對端的網關裝置協商，而對端的網關裝置在多網段的情況下會使用多個SA與VPN網關協商。

解決方案

請參見多網段配置方案推薦。

本地網關裝置不支援IKEv2版本時，如何?多網段互連？

如果本地網關裝置不支援IKEv2版本，則IPsec串連及本地網關裝置可以使用IKEv1版本。

在IPsec串連使用IKEv1版本的情境下，一個IPsec串連僅支援配置一個本端網段和一個對端網段，請參見多網段配置方案進行配置，以實現多網段互連。