如果您本機資料中心的一台本地網關裝置上配置了多個公網IP地址,您可以使用其中的兩個公網IP地址與阿里雲Virtual Private Cloud(Virtual Private Cloud)建立兩條IPsec-VPN串連,這兩條IPsec-VPN串連可以作為主備鏈路,實現本機資料中心與VPC之間的高可用串連。
情境樣本
本文以下圖情境為例。某企業在中國杭州擁有一個本機資料中心,在阿里雲華東1(杭州)地區擁有一個VPC,VPC中已使用Elastic Compute Service(Elastic Compute Service)部署了應用。現在企業希望本機資料中心可以加密訪問VPC中的應用,且希望本機資料中心和VPC之間擁有多條串連,實現上雲鏈路的高可用。
企業本機資料中心的本地網關裝置上擁有多個公網IP地址,企業可以使用其中的兩個公網IP地址分別與VPC建立IPsec-VPN串連,在實現本機資料中心加密訪問VPC中應用的同時,實現上雲鏈路的高可用。
網路規劃
網路功能規劃
本文情境中使用的網路功能如下:
購買公網網路類型的VPN網關執行個體。
建立IPsec串連時,兩個IPsec串連關聯至同一個VPN網關執行個體。
VPN網關執行個體使用靜態路由,通過設定路由的權重值來指定主備IPsec-VPN串連。
兩個IPsec串連均啟用健全狀態檢查功能,通過健全狀態檢查探測IPsec-VPN串連的可用性。
如果主IPsec-VPN串連健全狀態檢查失敗,系統自動將流量切換至備IPsec-VPN串連進行傳輸。
網段規劃
在您規劃網段時,請確保本機資料中心和VPC之間要互連的網段沒有重疊。
資源 | 網段及IP地址 |
VPC | 主網段:172.16.0.0/16
|
本地網關裝置 | 本地網關裝置的公網IP地址:
|
本機資料中心 | 待和VPC互連的網段:192.168.0.0/24 |
準備工作
在開始配置前,請確保您已完成以下操作:
您已經在阿里雲華東1(杭州)地區建立了一個VPC,並使用ECS部署了相關業務。具體操作,請參見搭建IPv4專用網路。
確保本機資料中心的本地網關裝置支援IKEv1和IKEv2協議,支援這兩種協議的本地網關裝置均可以和阿里雲VPN網關建立IPsec-VPN串連。
您已經瞭解VPC中的ECS執行個體所應用的安全性群組規則,並確保安全性群組規則允許本機資料中心的網關裝置訪問雲上資源。具體操作,請參見查詢安全性群組規則和添加安全性群組規則。
配置流程
步驟一:建立VPN網關
在建立IPsec-VPN串連前,您需要先建立一個VPN網關,並為VPN網關開啟IPsec-VPN功能。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關的地區。
VPN網關的地區需和待關聯的VPC執行個體的地區相同。本文選擇華東1(杭州)地區。
在VPN網關頁面,單擊建立VPN網關。
在購買頁面,根據以下資訊配置VPN網關,然後單擊立即購買並完成支付。
配置項
說明
執行個體名稱
輸入VPN網關的名稱。
本文輸入VPN網關。
地區
選擇VPN網關所屬的地區。
本文選擇華東1(杭州)。
網關類型
選擇VPN網關的類型。
本文選擇普通型。
網路類型
選擇VPN網關的網路類型。
本文選擇公網。
隧道
系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。
專用網路
選擇VPN網關待關聯的VPC執行個體。
本文選擇已建立的VPC。
虛擬交換器
從VPC執行個體中選擇一個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,您僅需要指定一個交換器執行個體。
IPsec-VPN串連的隧道模式為雙隧道時,您需要指定兩個交換器執行個體。
IPsec-VPN功能開啟後,系統會在兩個交換器執行個體下各建立一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
說明系統預設幫您選擇第一個交換器執行個體,您可以手動修改或者直接使用預設的交換器執行個體。
建立VPN網關執行個體後,不支援修改VPN網關執行個體關聯的交換器執行個體,您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
虛擬交換器2
從VPC執行個體中選擇第二個交換器執行個體。
IPsec-VPN串連的隧道模式為單隧道時,無需配置該項。
頻寬峰值
選擇VPN網關的頻寬峰值。單位:Mbps。
流量
VPN網關的計費方式。預設值:按流量計費。
更多資訊,請參見計費說明。
IPsec-VPN
選擇是否開啟IPsec-VPN功能。
本文保持預設值,即開啟IPsec-VPN功能。
SSL-VPN
選擇是否開啟SSL-VPN功能。
本文保持預設值,即關閉SSL-VPN功能。
購買時間長度
VPN網關的計費周期。預設值:按小時計費。
服務關聯角色
單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已建立,則表示您的帳號下已建立了該角色,無需重複建立。
返回VPN網關頁面,查看已建立的VPN網關執行個體。
建立VPN網關執行個體後,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關執行個體已經完成了初始化,可以正常使用。
步驟二:建立使用者網關
在建立IPsec-VPN串連前,您需要建立使用者網關,將本地網關裝置的資訊註冊至阿里雲上。
在左側導覽列,選擇。
在頂部功能表列,選擇使用者網關執行個體的地區。
說明使用者網關執行個體的地區必須和步驟一中建立的VPN網關執行個體的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊配置使用者網關,然後單擊確定。
請根據下表資訊建立2個使用者網關分別關聯不同的公網IP地址。以下僅列舉本文強相關的配置項,其餘配置項保持預設值,如果您想要瞭解更多資訊,請參見建立和系統管理使用者網關。
配置項
配置項說明
使用者網關1
使用者網關2
名稱
輸入使用者網關的名稱。
本文輸入Customer1。
本文輸入Customer2。
IP地址
輸入使用者網關的公網IP地址。
本文輸入本地網關裝置的公網IP地址1118.XX.XX.20。
本文輸入本地網關裝置的公網IP地址2120.XX.XX.40。
步驟三:建立IPsec串連
建立使用者網關後,您需要建立IPsec串連,VPN網關將通過IPsec串連與本地網關裝置建立IPsec-VPN串連。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec串連的地區。
說明IPsec串連的地區必須和步驟一中建立的VPN網關執行個體的地區相同。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
請根據下表資訊建立2個IPsec串連分別關聯不同的使用者網關。以下僅列舉本文強相關的配置項,其餘配置項保持預設值,如果您想要瞭解更多資訊,請參見建立和管理IPsec串連(單隧道模式)。
配置項
配置項說明
IPsec串連1
IPsec串連2
名稱
輸入IPsec串連的名稱。
本文輸入IPsec串連1
本文輸入IPsec串連2
綁定資源
選擇IPsec串連綁定的資源類型。
本文選擇VPN網關。
VPN網關
選擇已建立的VPN網關執行個體。
本文選擇VPN網關。
本文選擇VPN網關。
使用者網關
選擇已建立的使用者網關執行個體。
本文選擇Customer1。
本文選擇Customer2。
路由模式
選擇路由模式。
本文選擇目的路由模式。
立即生效
選擇IPsec串連的配置是否立即生效。取值:
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
本文選擇否。
預先共用金鑰
輸入IPsec串連的認證密鑰,用於本地網關裝置和IPsec串連之間的身份認證。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改IPsec串連。
重要IPsec串連兩側配置的預先共用金鑰需一致,否則系統無法正常建立IPsec串連。
本文輸入fddsFF123****。
加密配置
添加IKE配置和IPsec配置。
本文使用IKEv1版本,其餘選項保持預設值。
BGP配置
選擇是否開啟BGP配置。
本文保持預設值,即不開啟BGP配置。
健全狀態檢查
選擇是否開啟健全狀態檢查功能。
目標IP:輸入VPC側通過IPsec串連可以訪問的本機資料中心的IP地址。
源IP:輸入本機資料中心通過IPsec串連可以訪問的VPC側的IP地址。
稍候再試:選擇健全狀態檢查的稍候再試時間,單位:秒。預設值:3。
重試次數:選擇健全狀態檢查的重試次數。預設值:3。
本文開啟健全狀態檢查功能,並添加以下配置:
目標IP:192.168.0.1。
源IP:172.16.10.1。
稍候再試:3。
重試次數:3。
本文開啟健全狀態檢查功能,並添加以下配置:
目標IP:192.168.0.2。
源IP:172.16.20.1。
稍候再試:3。
重試次數:3。
在建立成功對話方塊中,單擊確定。
返回至IPsec串連頁面,找到目標IPsec串連,在操作列單擊下載對端配置。
將IPsec串連1和IPsec串連2的對端配置儲存在您的本地,用於後續配置本地網關裝置。
步驟四:配置VPN網關路由
您需要為VPN網關配置路由,引導VPC去往本機資料中心的流量進入IPsec-VPN串連。
在左側導覽列,選擇。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下資訊配置目的路由,然後單擊確定。
請根據下表資訊為VPN網關添加兩條目的路由,通過設定目的路由的權重值指定主備IPsec-VPN串連。
配置項
配置說明
路由條目1
路由條目2
目標網段
輸入待互連的目標網段。
輸入本機資料中心待和VPC互連的網段192.168.0.0/24。
輸入本機資料中心待和VPC互連的網段192.168.0.0/24。
下一跳類型
選擇下一跳的類型。
選擇IPsec串連。
選擇IPsec串連。
下一跳
選擇下一跳。
選擇IPsec串連1。
選擇IPsec串連2。
發布到VPC
選擇是否將新添加的路由發布到VPN網關關聯的VPC的路由表中。
本文選擇是。
本文選擇是。
權重
選擇路由的權重值。
100:高優先順序。
0:低優先順序。
本文選擇100(主)。
重要通過設定不同的路由權重來區分主備路由,兩條目的路由的權重不能同時設定為100,也不能同時設定為0。
本文選擇0(備)。
步驟五:配置本地網關裝置
在阿里雲側完成配置後,您需要在本地網關裝置上添加VPN配置、路由配置以及健全狀態檢查配置,使本地網關裝置與VPN網關之間成功建立IPsec-VPN串連,同時使本機資料中心去往VPC的流量優先通過主IPsec-VPN串連,在主IPsec-VPN串連中斷後自動切換至備IPsec-VPN串連。
以下配置樣本僅供參考,不同廠商的裝置配置命令可能會有所不同。具體命令,請諮詢相關裝置廠商。
在本地網關裝置中添加VPN配置。
登入本地網關裝置的命令列配置介面。
配置isakmp策略。
crypto isakmp policy 1 authentication pre-share encryption aes hash sha group 2 lifetime 86400配置預先共用金鑰。
crypto isakmp key fddsFF123**** address 46.XX.XX.21配置IPsec安全性通訊協定。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel配置ACL(存取控制清單),定義需要保護的資料流。
說明如果本地網關裝置配置了多網段,則需要分別針對多個網段添加ACL策略。
access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255配置IPsec策略。
crypto map ipsecpro64 10 ipsec-isakmp set peer 46.XX.XX.21 set transform-set ipsecpro64 set pfs group2 match address 100應用IPsec策略。
interface GigabitEthernet1 #在配置公網IP地址1的介面下應用IPsec策略 crypto map ipsecpro64 interface GigabitEthernet2 #在配置公網IP地址2的介面下應用IPsec策略 crypto map ipsecpro64
在本地網關裝置中添加路由配置以及健全狀態檢查配置。
使本機資料中心去往VPC的流量優先通過主IPsec-VPN串連,同時通過健全狀態檢查功能自動檢測主IPsec-VPN串連的連通性,在主IPsec-VPN串連不通的情況下自動引導本機資料中心去往VPC的流量進入備IPsec-VPN串連。
type icmp-echo destination ip 46.XX.XX.21 #目標IP地址為VPN網關公網IP地址。 frequency 5000 reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only nqa schedule admin test start-time now lifetime forever track 1 nqa entry admin test reaction 1 ip route-static 172.16.0.0 16 118.XX.XX.20 track 1 preference 40 #172.16.0.0/16為VPC待和本機資料中心互連的網段;118.XX.XX.20為本地網關裝置與VPN網關建立主IPsec-VPN串連的公網IP地址。 ip route-static 172.16.0.0 16 120.XX.XX.40 #172.16.0.0/16為VPC待和本機資料中心互連的網段;120.XX.XX.40為本地網關裝置與VPN網關建立備IPsec-VPN串連的公網IP地址。在本地網關裝置中添加IPsec串連健全狀態檢查的回程路由。
在本地網關裝置中添加一條目標網段為源IP地址,子網路遮罩為32位,下一跳指向IPsec串連的路由條目,以確保阿里雲IPsec串連健全狀態檢查功能正常工作。
ip route-static 172.16.10.1 32 118.XX.XX.20 #配置IPsec串連1健全狀態檢查的回程路由 ip route-static 172.16.20.1 32 120.XX.XX.40 #配置IPsec串連2健全狀態檢查的回程路由
步驟六:驗證測試
完成上述步驟後,本機資料中心可通過兩條IPsec-VPN串連與VPC互連。以下內容介紹如何測試網路連通性以及如何驗證兩條IPsec-VPN串連已實現主備鏈路冗餘。
網路連通性測試。
登入VPC下任意一個ECS執行個體,本文登入ECS1執行個體。具體操作,請參見ECS遠端連線操作指南。
在ECS1執行個體中執行ping命令,嘗試訪問本機資料中心的用戶端。
ping <本機資料中心用戶端的IP地址>如果可以收到用戶端發出的回複報文,則表示本機資料中心和VPC之間的網路已連通,可以實現資源互訪。
驗證兩條IPsec-VPN串連已實現主備鏈路冗餘。
在本機資料中心的多個用戶端中持續向ECS1執行個體發送訪問請求,或者在用戶端中使用iPerf3工具持續向ECS1執行個體發送訪問請求。關於如何安裝、使用iPerf3工具,請參見物理專線網路效能測試方法。
登入阿里雲管理主控台,在IPsec串連的詳情頁面查看流量監控資料。
正常情況下,僅主IPsec-VPN串連關聯的IPsec串連1的詳情頁面下有流量監控資料。
您可以通過以下步驟進入IPsec串連1的詳情頁面:
登入VPN網關管理主控台。
在頂部狀態列處,選擇IPsec串連1所屬的地區。
在左側導覽列,選擇。
在IPsec串連頁面,找到目標IPsec串連1,單擊IPsec串連1的ID。
進入IPsec串連1的詳情頁面在監控頁簽下查看流量監控資料。
中斷主IPsec-VPN串連。
例如,您可以在本地網關裝置上關閉與VPN網關建立主IPsec-VPN串連的介面來中斷主IPsec-VPN串連。關於如何關閉介面,請參見您的本地網關裝置操作指南。
重新登入阿里雲管理主控台,在備IPsec-VPN串連關聯的IPsec串連2的詳情頁面查看流量監控資料。
正常情況下,主IPsec-VPN串連中斷後,流量將自動切換至備IPsec-VPN串連進行轉寄,您可以在備IPsec-VPN串連關聯的IPsec串連2的詳情頁面查看到流量的監控資料。