全部產品
Search
文件中心

VPN Gateway:升級IPsec-VPN串連為雙隧道模式

更新時間:Nov 13, 2024

雙隧道模式的IPsec-VPN串連擁有主備兩條隧道,在主隧道故障後,流量可以通過備隧道進行傳輸,提高了IPsec-VPN串連的高可用性。本文介紹如何將IPsec-VPN串連升級為雙隧道模式。

背景資訊

升級IPsec-VPN串連為雙隧道模式前,建議您先瞭解雙隧道模式的組網拓撲、流量傳輸路徑等資訊。相關文檔,請參見【升級公告】IPsec-VPN串連升級為雙隧道模式

支援的地區和可用性區域

以下地區和可用性區域的IPsec-VPN串連支援升級為雙隧道模式。

地區

可用性區域

華東1(杭州)

K、J、I、H、G

華東2(上海)

K、L、M、N、B、D、E、F、G

華東5(南京-本地地區)

A

華南1(深圳)

A(已停止售賣)、E、D、F

華南2(河源)

A、B

華南3(廣州)

A、B

華北1(青島)

B、C

華北2(北京)

F、E、H、G、A、C、J、I、L、K

華北3(張家口)

A、B、C

華北5(呼和浩特)

A、B

華北6(烏蘭察布)

A、B、C

西南1(成都)

A、B

中國香港

B、C、D

新加坡

A、B、C

泰國(曼穀)

A

日本(東京)

A、B、C

韓國(首爾)

A

菲律賓(馬尼拉)

A

印尼(雅加達)

A、B、C

馬來西亞(吉隆坡)

A、B

英國(倫敦)

A、B

德國(法蘭克福)

A、B、C

美國(矽谷)

A、B

美國(維吉尼亞)

A、B

沙特(利雅得)

A、B

阿聯酋(杜拜)

A

升級環境要求

在IPsec-VPN串連升級為雙隧道模式前,需確保滿足以下要求:

  • 阿里雲帳號下已建立了AliyunServiceRoleForVpn服務關聯角色。

    升級過程中,系統需要通過AliyunServiceRoleForVpn服務關聯角色完成VPN網關資源的部署。您可以在VPN網關執行個體購買頁面查看當前阿里雲帳號下是否已建立AliyunServiceRoleForVpn服務關聯角色:

    • 如果頁面顯示已建立,則表示阿里雲帳號下已存在AliyunServiceRoleForVpn服務關聯角色,無需再建立。

    • 如果頁面提示建立服務關聯角色,請單擊建立服務關聯角色,系統會自動完成AliyunServiceRoleForVpn服務關聯角色的建立。更多資訊,請參見AliyunServiceRoleForVpn

    服務關聯角色-EN

  • VPN網關執行個體不能同時開啟IPsec-VPN和SSL-VPN功能。

    如果VPN網關執行個體同時開啟了IPsec-VPN和SSL-VPN功能,您可以通過降配關閉IPsec-VPN功能或SSL-VPN功能。具體操作,請參見降配

    關閉功能前,請確保VPN網關執行個體下不存在IPsec串連或SSL服務端。具體操作,請參見刪除IPsec串連刪除SSL服務端

  • VPN網關執行個體的策略路由表或目的路由表下不能存在指向不同IPsec-VPN串連的相同路由。

    下表舉例說明並提供相應解決方案。

    路由表

    源網段

    目標網段

    下一跳

    是否可以升級

    解決方案

    策略路由表

    10.10.10.0/24

    172.16.10.0/24

    IPsec串連1

    不可以

    因為策略路由表下存在兩條源網段和目標網段均相同,下一跳指向不同IPsec-VPN串連的路由。

    刪除一條路由或者修改其中一條路由的源網段或者目標網段。具體操作,請參見配置策略路由

    10.10.10.0/24

    172.16.10.0/24

    IPsec串連2

    目的路由表

    不涉及

    192.168.10.0/24

    IPsec串連3

    不可以

    因為目的路由表下存在兩條目標網段相同,下一跳指向不同IPsec-VPN串連的路由。

    刪除一條路由或者修改其中一條路由的目標網段。具體操作,請參見配置目的路由

    不涉及

    192.168.10.0/24

    IPsec串連4

  • VPN網關執行個體關聯的VPC執行個體路由表下不能存在目標網段為SSL服務端客戶端網段的子網或者IPsec服務端客戶端網段的子網,下一跳指向VPN網關執行個體的路由。

    例如一個SSL服務端的客戶端網段為192.168.10.0/24,則VPN網關關聯的VPC執行個體的路由表下不能存在目標網段為192.168.10.0/25或192.168.10.0/26等子網,下一跳指向VPN網關執行個體的路由。

    您可以管理VPC執行個體路由表下的自訂路由。具體操作,請參見建立和管理路由表

  • 如果VPN網關執行個體下存在多個IPsec-VPN串連,在多個IPsec-VPN串連均使用BGP動態路由協議的情況下,每個IPsec-VPN串連的BGP隧道網段需互不相同。

    您可以修改BGP隧道網段。具體操作,請參見修改IPsec串連

  • 您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個交換器執行個體,並確保交換器執行個體下擁有足夠數量的空閑IP地址。

    • 在您指定交換器執行個體時,交換器執行個體所屬的可用性區域必須是支援建立雙隧道模式IPsec-VPN串連的可用性區域。關於可用性區域詳情,請參見支援的地區和可用性區域

    • 如果當前地區下有多個可用性區域均支援建立雙隧道模式的IPsec-VPN串連,則您指定的兩個交換器執行個體必須屬於不同的可用性區域,以實現IPsec-VPN串連可用性區域層級的容災。每個交換器執行個體下需有2個閒置IP地址。

    • 如果當前地區下僅有一個可用性區域支援建立雙隧道模式的IPsec-VPN串連,則您需要從該可用性區域下指定兩個交換器執行個體:

      • 如果您指定了相同的交換器執行個體,請確保該交換器執行個體下擁有4個閒置IP地址。

      • 如果您指定了2個不同的交換器執行個體,請確保每個交換器執行個體下擁有2個閒置IP地址。

升級過程說明

警告

VPN網關升級期間無法提供服務,已有串連也會中斷。建議您在網路維護視窗期間進行升級,以免影響業務運行。

  • 升級過程約持續10分鐘,在此期間VPN網關執行個體不支援轉寄流量。

  • 升級期間VPN網關執行個體不支援操作。

升級操作

  1. 登入VPN網關管理主控台

  2. 在頂部功能表列,選擇VPN網關執行個體的地區。

  3. VPN網關頁面,找到目標VPN網關執行個體,單擊執行個體ID。

  4. 在VPN網關執行個體頁面的右上方,單擊開啟AZ級高可靠

  5. 開啟AZ級高可靠對話方塊,指定交換器執行個體然後開啟升級環境校正,確保環境滿足升級要求並瞭解升級風險後,單擊立即開啟

    • 如果升級環境校正失敗,請參見升級環境要求排查問題。

    • 單擊立即開啟後,系統將直接開始升級,請耐心等待。

後續步驟

  • 在VPN網關執行個體關聯的VPC執行個體接入了雲企業網的情境下,如果VPC執行個體的路由表中存在指向VPN網關執行個體的自訂路由條目,且該路由條目已經被發布至雲企業網,則升級完成後,該路由條目會變成未發布狀態,您需要重新將該路由條目發布至雲企業網。具體操作,請參見發布路由至轉寄路由器

    2024-02-22_16-46-49

  • 如果VPN網關執行個體保留了IPsec-VPN功能,則升級完成後,IPsec-VPN串連的備隧道預設不可用,您需要在IPsec串連的對端網關裝置上添加相關配置使備隧道可用。具體操作,請參見建立VPC到本機資料中心的串連(雙隧道模式)建立VPC到本機資料中心的串連(雙隧道模式和BGP路由)

    • 升級完成後,VPN網關執行個體會擁有2個IPsec地址,其中一個地址是VPN網關執行個體已經擁有的地址(即升級前的VPN網關IP地址),另一個是系統為VPN網關執行個體新分配的地址,這2個地址用於建立兩條加密隧道。升級-VPN網關.png

    • 升級完成後,一個IPsec串連執行個體下將擁有主備兩條隧道,兩條隧道預設關聯相同的使用者網關執行個體。主隧道預設為升級前的隧道,升級前後配置保持不變。備隧道預設不可用。升級-隧道.png

  • 如果VPN網關執行個體保留了SSL-VPN功能,則升級完成後,SSL-VPN相關配置保持不變。您可以開啟VPN網關執行個體的IPsec-VPN功能然後開始建立雙隧道模式的IPsec-VPN串連。具體操作,請參見操作步驟建立和管理IPsec串連(雙隧道模式)

    升級完成後,VPN網關IP地址將變成SSL地址,僅能用於SSL-VPN功能。在您開啟IPsec-VPN功能後,系統將為VPN網關執行個體重新分配2個IPsec地址用於建立雙隧道模式的IPsec-VPN串連。升級-SSL.png

重要

使用雙隧道模式的IPsec-VPN串連時,請確保主備隧道同時可用,如果您僅配置或僅使用了其中一條隧道,則無法體驗雙隧道模式IPsec-VPN串連的主備鏈路冗餘能力以及可用性區域層級的容災能力。