全部產品
Search

搜尋本產品

    VPN Gateway:綁定轉寄路由器情境雙隧道IPsec-VPN串連說明

    文件中心

    VPN Gateway:綁定轉寄路由器情境雙隧道IPsec-VPN串連說明

    更新時間:Nov 13, 2024

    IPsec串連綁定轉寄路由器的情境下,之前IPsec-VPN串連僅擁有一條加密隧道,如果您的網路中不存在冗餘鏈路,在隧道故障後會直接導致網路中斷。為提高IPsec-VPN串連的高可用性,阿里雲已將IPsec-VPN串連升級為雙隧道模式,一個IPsec-VPN串連下將包含兩條隧道,兩條隧道自動形成ECMP(Equal-Cost Multipath Routing)鏈路,在一條隧道故障後,流量可以通過另一條隧道進行傳輸,實現IPsec-VPN串連的高可用。在支援多可用性區域的地區,IPsec-VPN串連的兩條隧道會自動分布在不同可用性區域,提供可用性區域層級的容災能力。

    使用限制

    • IPsec串連綁定轉寄路由器的情境下,雙隧道模式的IPsec-VPN串連功能公測中,在使用前,請確保您已經向客戶經理申請了使用許可權。

    • 目前僅泰國(曼穀)地區支援建立雙隧道模式的IPsec-VPN串連。您在這些地區建立IPsec-VPN串連後,預設為雙隧道模式,這些地區不再支援建立單隧道模式的IPsec-VPN串連。

      說明

      如果VPN網關控制台支援雙隧道模式IPsec-VPN串連的地區與文檔中描述的不一致,以VPN網關控制台顯示為準。

    • 對於不支援IPsec-VPN串連雙隧道模式的地區,預設僅能建立單隧道模式的IPsec-VPN串連。

    雙隧道組網說明

    單隧道模式的IPsec-VPN串連僅擁有一條隧道,如果您的網路中不存在冗餘鏈路,在隧道故障後會直接導致網路中斷。一個雙隧道模式的IPsec-VPN串連擁有兩條加密隧道,會自動形成ECMP鏈路,兩條隧道均支援流量轉寄。在一條隧道中斷後,流量可以切換至另一條隧道進行傳輸。

    建立雙隧道模式的IPsec-VPN串連時,系統會自動將兩條隧道部署在不同的可用性區域,以實現IPsec-VPN串連可用性區域層級的容災。在僅支援一個可用性區域的地區 ,雙隧道模式IPsec-VPN串連的兩條隧道會被部署在同一個可用性區域,不支援可用性區域層級的容災,但依舊擁有鏈路冗餘能力。

    重要

    建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,將無法體驗IPsec-VPN串連鏈路冗餘能力以及可用性區域層級的容災能力。

    流量傳輸說明

    • 從轉寄路由器去往本機資料中心的方向

      在IPsec-VPN串連兩條隧道同時可用的狀態下,會組成ECMP鏈路,系統將會通過兩條隧道向本機資料中心傳輸串流量,兩條隧道的流量分布是隨機的,非均勻分布。在一條隧道故障時,系統會自動通過另一條隧道傳輸串流量。

    • 從本機資料中心去往轉寄路由器的方向

      該方向的流量路徑依賴於本機資料中心的路由配置。

      由於阿里雲通過兩條隧道向本機資料中心傳輸串流量,流量在兩條隧道的分布是隨機的,因此推薦您配置ECMP路由使本機資料中心去往雲上的流量同時通過兩條隧道傳輸。如果您配置了主備路由或者配置路由使某一網段流量僅通過一條隧道傳輸至雲上,則可能會導致雲上的流量無法按照您期望的路徑傳輸至本機資料中心。

    雙隧道模式路由配置原則

    在使用雙隧道模式的IPsec-VPN串連時,推薦您按照以下原則為IPsec-VPN串連添加路由配置,以提高IPsec-VPN串連的穩定性:

    • 推薦使用BGP動態路由方式。如果需要使用靜態路由方式,請確保本地網關裝置支援配置靜態ECMP路由,否則本機資料中心去往阿里雲的流量無法通過ECMP路徑進行傳輸,雲上的流量卻能通過ECMP路徑傳輸至本機資料中心,可能會導致流量的傳輸路徑不符合您的期望。

    • 對於一個IPsec-VPN串連下的兩條隧道,建議配置相同的路由協議,即僅為IPsec-VPN串連配置靜態路由協議或為兩條隧道同時配置BGP動態路由協議。

    • 在IPsec-VPN串連配置BGP動態路由協議的情況下,兩條隧道的本端自治系統號需保持相同,兩條隧道對端的BGP AS號可以不相同,但建議保持相同。

    單隧道和雙隧道的區別

    說明

    IPsec-VPN串連升級至雙隧道模式後,計費方式不變且無新增費用。

    差異點

    單隧道模式

    雙隧道模式

    單個IPsec-VPN串連下的隧道數量

    1條

    2條

    單個IPsec-VPN串連支援的頻寬規格

    1000 Mbps

    2000 Mbps

    每條隧道支援的最大頻寬規格為1000 Mbps。支援通過其他方式擴大IPsec-VPN串連的頻寬。更多資訊,請參見如何擴大IPsec-VPN串連的頻寬?

    關聯的使用者網關數量

    1個

    2個

    兩條隧道支援關聯相同或不同的使用者網關執行個體。

    高可用性

    需通過建立多條IPsec-VPN串連實現高可用。

    通過一個IPsec-VPN串連下的兩條隧道即可實現高可用。

    健全狀態檢查功能

    支援

    不支援

    一個IPsec-VPN串連下的兩條隧道會自動形成ECMP鏈路,均支援流量轉寄,在一條隧道中斷後,系統會自動撤銷該隧道的路由發布,流量可以通過另一條隧道進行傳輸,無需再通過健全狀態檢查功能切換鏈路。

    網關IP地址

    建立IPsec串連後,系統為IPsec串連分配一個網關IP地址,用於建立IPsec-VPN串連。

    建立IPsec串連後,系統會為IPsec串連分配兩個網關IP地址,用於建立雙隧道模式的IPsec-VPN串連。

    本機資料中心網關裝置需具備的IP地址數量

    1個

    1個或2個

    推薦本機資料中心的網關裝置使用2個IP地址與阿里雲建立雙隧道模式的IPsec-VPN串連。或者本機資料中心使用兩個本地網關裝置與阿里雲建立雙隧道模式的IPsec-VPN串連,每個本地網關裝置使用一個IP地址。

    支援BGP動態路由的地區

    僅部分地區支援BGP動態路由功能。具體資訊,請參見支援BGP動態路由功能的地區

    支援雙隧道模式IPsec-VPN串連的地區預設支援BGP動態路由協議。

    教程樣本

    建立IPsec-VPN串連實現本地IDC和多地區VPC全互連(雙隧道)