全部產品
Search

搜尋本產品

    VPN Gateway:綁定VPN網關情境雙隧道IPsec-VPN串連說明

    文件中心

    VPN Gateway:綁定VPN網關情境雙隧道IPsec-VPN串連說明

    更新時間:Nov 13, 2024

    IPsec串連綁定VPN網關的情境下,之前IPsec-VPN串連僅擁有一條加密隧道,在隧道故障後會直接導致網路中斷。為提高IPsec-VPN串連的高可用性,VPN網關產品將IPsec-VPN串連升級為雙隧道模式,一個IPsec-VPN串連下將包含主備兩條隧道,且兩條隧道分布在不同的可用性區域,在主隧道故障後,流量可以通過備隧道進行傳輸,實現IPsec-VPN串連可用性區域層級的容災。

    使用限制

    • 以下地區和可用性區域支援雙隧道模式的IPsec-VPN串連。

      單擊查看支援的地區和可用性區域

      地區

      可用性區域

      華東1(杭州)

      K、J、I、H、G

      華東2(上海)

      K、L、M、N、B、D、E、F、G

      華東5(南京-本地地區)

      A

      華南1(深圳)

      A(已停止售賣)、E、D、F

      華南2(河源)

      A、B

      華南3(廣州)

      A、B

      華北1(青島)

      B、C

      華北2(北京)

      F、E、H、G、A、C、J、I、L、K

      華北3(張家口)

      A、B、C

      華北5(呼和浩特)

      A、B

      華北6(烏蘭察布)

      A、B、C

      西南1(成都)

      A、B

      中國香港

      B、C、D

      新加坡

      A、B、C

      泰國(曼穀)

      A

      日本(東京)

      A、B、C

      韓國(首爾)

      A

      菲律賓(馬尼拉)

      A

      印尼(雅加達)

      A、B、C

      馬來西亞(吉隆坡)

      A、B

      英國(倫敦)

      A、B

      德國(法蘭克福)

      A、B、C

      美國(矽谷)

      A、B

      美國(維吉尼亞)

      A、B

      沙特(利雅得)

      A、B

      阿聯酋(杜拜)

      A

    • 新購VPN網關執行個體後,預設僅能建立雙隧道模式的IPsec-VPN串連,不再支援建立單隧道模式的IPsec-VPN串連。

    • 如果您之前已經建立了VPN網關執行個體,則這些VPN網關執行個體預設只能建立單隧道模式的IPsec-VPN串連。推薦您儘快將IPsec-VPN串連升級為雙隧道模式,以體驗高可用的IPsec-VPN串連。升級後該VPN網關執行個體不再支援建立單隧道模式的IPsec-VPN串連。具體操作,請參見升級IPsec-VPN串連為雙隧道模式

    雙隧道模式組網說明

    image

    單隧道模式下IPsec-VPN串連僅存在一條隧道,在隧道故障後會直接導致網路中斷。雙隧道模式下一個IPsec-VPN串連下存在兩條加密隧道,互為主備鏈路,預設情況下流量僅通過主隧道進行傳輸,在主隧道故障後,流量可以通過備隧道進行傳輸。

    • 在雙隧道模式下,建立VPN網關執行個體時,您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體,用於建立雙隧道的IPsec-VPN串連,以實現IPsec-VPN串連可用性區域層級的容災。

      說明

      對於僅支援一個可用性區域的地區 ,不支援可用性區域層級的容災,建議您在該可用性區域下指定兩個不同的交換器執行個體以實現IPsec-VPN串連的高可用。支援選擇相同的交換器執行個體。

    • 建立VPN網關執行個體後,系統會為VPN網關執行個體分配兩個不同的IP地址,用於建立兩條隧道。

      對於公網網路類型的VPN網關執行個體,當您開啟SSL-VPN功能後,系統會額外為VPN網關執行個體分配一個IP地址,用於用戶端和VPN網關之間建立SSL-VPN串連,SSL-VPN串連的IP地址與IPsec-VPN串連的兩個IP地址不相同。

    • 在VPN管理主控台建立IPsec串連時需要對兩條隧道分別進行配置,每條隧道關聯一個使用者網關(兩條隧道可以關聯相同的使用者網關)。

      配置完成後,您還需要在IPsec串連對端的網關裝置上添加VPN配置分別與兩條隧道建立VPN串連,以建立雙隧道的IPsec-VPN串連。

      重要

      在建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力。

    雙隧道模式流量傳輸說明

    image

    • 從VPN網關側去往對端的方向(圖中綠色流量方向)

      • 在建立IPsec-VPN串連時,如果您僅配置了一條隧道(即僅啟用一條隧道),則系統僅通過啟用的隧道傳輸從VPN網關側去往對端方向的流量,在隧道故障時,流量傳輸會中斷。

      • 在建立IPsec-VPN串連時,如果您配置了兩條隧道(即兩條隧道均啟用),則系統優先通過主隧道傳輸從VPN網關側去往對端方向的流量,在主隧道故障時,系統會通過備隧道傳輸從VPN網關側去往對端方向的流量。在主隧道恢複後,則該方向的流量會重新切換到主隧道進行傳輸。

    • 從對端去往VPN網關側的方向(圖中黑色流量方向)

      該方向的流量路徑依賴於對端網關裝置的路由配置。

      例如在本地IDC通過IPsec-VPN串連與VPC互連的情境中,您可以在本地網關裝置上添加路由配置使本地IDC和VPC之間雙方向的流量均通過主隧道傳輸,您也可以使VPC去往本地IDC的流量通過主隧道進行傳輸,使本地IDC去往VPC的流量通過備隧道進行傳輸。

    雙隧道模式路由配置原則

    在使用雙隧道模式的IPsec-VPN串連時,推薦您按照以下原則為IPsec-VPN串連添加路由配置,以提高IPsec-VPN串連的穩定性:

    • 對於一個IPsec-VPN串連下的兩條隧道,建議配置相同的路由協議,即僅為IPsec-VPN串連配置靜態路由協議或為兩條隧道同時配置BGP動態路由協議。

    • 在IPsec-VPN串連配置BGP動態路由協議的情況下,兩條隧道的本端自治系統號需保持相同,兩條隧道對端的BGP AS號可以不相同,但建議保持相同。

    • 對於一個VPN網關下存在多個IPsec-VPN串連的情境:

      • 如果為多個IPsec-VPN串連同時配置了靜態路由,則不同IPsec-VPN串連的目的路由或者策略路由的目標網段之間不能衝突,否則會影響路由生效。

      • 如果為多個IPsec-VPN串連同時配置了BGP動態路由,則VPN網關側通過多條IPsec-VPN串連學習到的路由條目的目標網段之間不能衝突,否則會影響路由生效。

    單隧道模式和多隧道模式差異對比

    說明

    IPsec-VPN串連升級至雙隧道模式後,計費方式不變且無新增費用。

    差異點

    單隧道模式

    雙隧道模式

    單個IPsec-VPN串連下的隧道數量

    一條

    兩條

    關聯的交換器數量

    建立VPN網關執行個體時僅需指定一個交換器。

    建立VPN網關執行個體時需指定兩個分布在不同可用性區域的交換器。

    高可用性

    需通過在VPN網關執行個體下建立多條IPsec-VPN串連或者建立多個VPN網關執行個體實現高可用。

    通過一個IPsec-VPN串連下的兩條隧道即可實現高可用。

    配置路由權重值

    支援

    不支援

    健全狀態檢查功能

    支援

    不支援

    VPN網關的IP地址

    建立VPN網關執行個體後,系統僅為VPN網關執行個體分配一個IP地址。

    VPN網關使用該IP地址和對端建立IPsec-VPN串連或SSL-VPN串連。

    建立VPN網關執行個體後,系統最多為VPN網關執行個體分配三個IP地址(指VPN網關執行個體同時開啟IPsec-VPN和SSL-VPN功能的情境),其中IPsec-VPN串連使用兩個IP地址,用於建立兩條加密隧道,SSL-VPN串連使用一個IP地址用於和用戶端建立串連。三個IP地址互不相同。

    相關文檔

    建立VPC到VPC的IPsec-VPN串連(雙隧道模式)