VPN網關的Hub功能可以滿足大型企業在各個網站之間、各個網站與Virtual Private Cloud(Virtual Private Cloud)之間建立內網通訊的需求。本文為您介紹如何使用VPN網關的Hub功能在多網站之間、多網站與VPC之間建立串連。
VPN網關Hub功能介紹
建立VPN網關執行個體後,系統自動開啟VPN網關執行個體的Hub功能。您只需要配置各個網站的使用者網關以及各個網站到雲上的IPsec串連,即可實現多網站之間、多網站與VPC之間的相互連信。
情境樣本
本文以上圖情境為例。某大型企業在上海、杭州、寧波各擁有一個辦公點,在阿里雲華東1(杭州)地區擁有一個VPC1,VPC1中使用Elastic Compute Service(Elastic Compute Service)部署了相關業務,當前各個辦公點之間,各個辦公點與VPC1之間互不相通。因業務發展,現在企業需要使用VPN網關產品,通過VPN網關的Hub功能快速實現上海辦公點、杭州辦公點、寧波辦公點和VPC1之間相互連信。
前提條件
您已經擷取各個辦公點本地網關裝置的公網IP地址。
您已經在阿里雲華東1(杭州)地區建立了一個VPC1,VPC1中使用ECS部署了相關業務。具體操作,請參見搭建IPv4專用網路。
本樣本VPC1和各個辦公點的網段規劃如下表所示。
說明您可以自行規劃網段,請確保VPC1和各個辦公點之間要互連的網段沒有重疊。
網站
VPC1
上海辦公點
杭州辦公點
寧波辦公點
待互連的網段
192.168.0.0/16
10.10.10.0/24
10.10.20.0/24
10.10.30.0/24
ECS執行個體IP地址
192.168.20.121
不涉及
不涉及
不涉及
本地網關裝置公網IP地址
不涉及
1.XX.XX.1
2.XX.XX.2
3.XX.XX.3
您已經瞭解VPC1中ECS執行個體所應用的安全性群組規則及各個辦公點所應用的存取控制規則,並確保ECS執行個體的安全性群組規則以及各個辦公點的存取控制規則允許辦公點之間、辦公點與VPC1之間相互連信。具體操作,請參見查詢安全性群組規則和添加安全性群組規則。
配置流程
步驟一:建立VPN網關
在VPC1執行個體所屬的地區建立一個VPN網關執行個體,上海辦公點、杭州辦公點和寧波辦公點將通過該VPN網關執行個體實現互相通訊,以及與雲上VPC1的通訊。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體所屬的地區。
本樣本選擇華東1(杭州)。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。
配置項
說明
執行個體名稱
輸入VPN網關執行個體的名稱。本樣本輸入VPN網關1。
地區
選擇VPN網關執行個體所屬的地區。本樣本選擇華東1(杭州)。
網關類型
選擇VPN網關執行個體的類型。本樣本選擇普通型。
網路類型
選擇VPN網關執行個體的網路類型。本樣本選擇公網。
隧道
系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。
專用網路
選擇VPN網關執行個體關聯的VPC執行個體。本樣本選擇VPC1。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
虛擬交換器2
從VPC執行個體中選擇第二個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,無需配置該項。
頻寬峰值
選擇VPN網關執行個體的公網頻寬峰值。單位:Mbps。
流量
VPN網關執行個體的計費方式。預設值:按流量計費。
更多資訊,請參見計費說明。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。本樣本選擇開啟。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。本樣本選擇關閉。
購買時間長度
VPN網關的計費周期。預設值:按小時計費。
服務關聯角色
單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已建立,則表示您的帳號下已建立了該角色,無需重複建立。
更多參數資訊,請參見建立VPN網關執行個體。
返回VPN網關頁面,查看已建立的VPN網關執行個體。
建立VPN網關執行個體後,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關執行個體已經完成了初始化,可以正常使用。
步驟二:建立使用者網關
若要實現多個辦公點通過一個VPN網關執行個體相互連信,在建立VPN網關執行個體後,您需要建立多個使用者網關,一個使用者網關對應一個辦公點。
在左側導覽列,選擇。
在頂部功能表列,選擇使用者網關的地區。
說明使用者網關的地區必須和待串連的VPN網關執行個體的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊配置使用者網關,然後單擊確定。
您需要為每個辦公點建立一個使用者網關,使用者網關的配置請參見下表。
配置項
配置項說明
上海辦公點
杭州辦公點
寧波辦公點
名稱
輸入使用者網關的名稱。
Shanghai-customer1
Hangzhou-customer2
Ningbo-customer3
IP地址
輸入使用者網關的公網IP地址。
本樣本輸入上海辦公點本地網關裝置的公網IP地址1.XX.XX.1。
本樣本輸入杭州辦公點本地網關裝置的公網IP地址2.XX.XX.2。
本樣本輸入寧波辦公點本地網關裝置的公網IP地址3.XX.XX.3。
更多參數資訊,請參見建立和系統管理使用者網關。
步驟三:建立IPsec串連
您需要為上海辦公點、杭州辦公點、寧波辦公點各建立一條IPsec串連,IPsec串連會將使用者網關與VPN網關關聯起來,進而將各個辦公點串連至阿里雲。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
上海辦公點、杭州辦公點以及寧波辦公點IPsec串連的配置請參見下表。
配置項
配置項說明
上海辦公點
杭州辦公點
寧波辦公點
名稱
輸入IPsec串連的名稱。
IPsec串連1
IPsec串連2
IPsec串連3
VPN網關
選擇已建立的VPN網關執行個體。
選擇VPN網關1。
使用者網關
選擇已建立的使用者網關執行個體。
選擇Shanghai-customer1。
選擇Hangzhou-customer2。
選擇Ningbo-customer3。
路由模式
選擇路由模式。
選擇目的路由模式。
選擇目的路由模式。
選擇感興趣流模式。
本端網段
輸入需要和各個辦公點互連的VPC的網段,用於第二階段協商。
不涉及
不涉及
192.168.0.0/16
對端網段
輸入需要和VPC互連的辦公點的網段,用於第二階段協商。
10.10.30.0/24
立即生效
選擇是否立即生效。
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
本樣本選擇是。
本樣本選擇是。
本樣本選擇是。
預先共用金鑰
輸入預先共用金鑰。
如果不輸入該值,系統預設產生一個16位的隨機字串。
重要本地網關裝置的預先共用金鑰需和IPsec串連的預先共用金鑰一致。
fddsFF123****
TTTddd321****
PPPttt456****
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文使用IKEv1版本,其他選項使用預設配置。
本文使用IKEv1版本,其他選項使用預設配置。
本文使用IKEv1版本,其他選項使用預設配置。
其他選項使用預設配置。更多參數資訊,請參見建立和管理IPsec串連(單隧道模式)。
在建立成功對話方塊中,單擊確定。
步驟四:為VPN網關配置路由
IPsec串連建立完成後,您需要將上海辦公點和杭州辦公點待互連的網段添加至VPN網關執行個體的目的路由表中,並將上海辦公點、杭州辦公點和寧波辦公點待互連的網段發布至VPC1中,為實現各個辦公點之間、辦公點與VPC1之間的相互連信做準備。
寧波辦公點的IPsec串連使用的是感興趣流的路由模式,IPsec串連建立完成後,系統自動將本端路由和對端路由添加至VPN網關執行個體的策略路由表中,因此您只需在策略路由表中將寧波辦公點的網段直接發布至VPC1即可,無需再手動添加路由。
在左側導覽列,選擇。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。
在VPN網關執行個體的目的路由表中添加並發布上海辦公點和杭州辦公點的網段。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下資訊配置目的路由條目,然後單擊確定。
配置項
配置說明
路由條目1
路由條目2
目標網段
輸入待互連的目標網段。
輸入上海辦公點的私網網段10.10.10.0/24。
輸入杭州辦公點的私網網段10.10.20.0/24。
下一跳類型
選擇下一跳的類型。
選擇IPsec串連。
選擇IPsec串連。
下一跳
選擇下一跳。
選擇IPsec串連1。
選擇IPsec串連2。
發布到VPC
選擇是否將新添加的路由條目發布到VPN網關關聯的VPC1中。
本樣本選擇是。
本樣本選擇是。
權重
選擇路由條目的權重值。
100:高優先順序。
0:低優先順序。
本樣本保持預設值100。
本樣本保持預設值100。
更多參數資訊,請參見添加目的路由。
在VPN網關執行個體的策略路由表中發布寧波辦公點的網段。
在策略路由表中,找到目標網段為寧波辦公點網段的路由條目,在操作列單擊發布。
在發布路由對話方塊,單擊確定。
步驟五:配置本地網關裝置
在阿里雲側完成VPN網關的配置後,還需要配置各個辦公點的本地網關裝置。您需要在IPsec串連頁面下載本地網關裝置的配置,並將配置添加至本地網關裝置中,以便實現各個辦公點之間、辦公點與VPC1之間的相互連信。
在左側導覽列,選擇。
在IPsec串連頁面,找到目標IPsec串連,然後在操作列下單擊下載對端配置。
分別找到IPsec串連1、IPsec串連2和IPsec串連3,下載對端配置。
根據本地網關裝置的配置要求,將下載的配置添加到本地網關裝置中。具體操作,請參見本地網關配置。
將通過IPsec串連1下載的對端配置添加至上海辦公點的本地網關裝置中。
將通過IPsec串連2下載的對端配置添加至杭州辦公點的本地網關裝置中。
將通過IPsec串連3下載的對端配置添加至寧波辦公點的本地網關裝置中。
步驟六:測試連通性
完成上述配置後,上海辦公點、杭州辦公點、寧波辦公點和VPC1之間已經可以互相通訊。以下內容介紹如何測試連通性。
測試辦公點與VPC1之間的連通性。
登入VPC1內的ECS執行個體。
關於如何登入ECS執行個體,請參見串連方式概述。
執行ping命令,分別訪問上海辦公點、杭州辦公點和寧波辦公點的一台用戶端。
ping <用戶端IP地址>如果均能夠收到回複報文,則證明各個辦公點與VPC1之間可以互相通訊。
測試辦公點之間的連通性。
開啟上海辦公點一台用戶端的命令列視窗。
執行ping命令,分別訪問杭州辦公點和寧波辦公點的一台用戶端。
ping <用戶端IP地址>如果均能夠收到回複報文,則證明上海辦公點與杭州辦公點、上海辦公點與寧波辦公點之間可以互相通訊。
開啟杭州辦公點一台用戶端的命令列視窗。
執行ping命令,訪問寧波辦公點的一台用戶端。
ping <用戶端IP地址>如果收到回複報文,則證明杭州辦公點與寧波辦公點之間可以互相通訊。