如何將IPsec-VPN串連升級為雙隧道模式 - VPN Gateway

雙隧道模式的IPsec-VPN串連擁有主備兩條隧道，在主隧道故障後，流量可以通過備隧道進行傳輸，提高了IPsec-VPN串連的高可用性。本文介紹如何將IPsec-VPN串連升級為雙隧道模式。

背景資訊

升級IPsec-VPN串連為雙隧道模式前，建議您先瞭解雙隧道模式的組網拓撲、流量傳輸路徑等資訊。相關文檔，請參見【升級公告】IPsec-VPN串連升級為雙隧道模式。

支援的地區和可用性區域

以下地區和可用性區域的IPsec-VPN串連支援升級為雙隧道模式。

地區	可用性區域
華東1（杭州）	K、J、I、H、G
華東2（上海）	K、L、M、N、B、D、E、F、G
華東5（南京-本地地區）	A
華南1（深圳）	A（已停止售賣）、E、D、F
華南2（河源）	A、B
華南3（廣州）	A、B
華北1（青島）	B、C
華北2（北京）	F、E、H、G、A、C、J、I、L、K
華北3（張家口）	A、B、C
華北5（呼和浩特）	A、B
華北6（烏蘭察布）	A、B、C
西南1（成都）	A、B
中國香港	B、C、D
新加坡	A、B、C
泰國（曼穀）	A
日本（東京）	A、B、C
韓國（首爾）	A
菲律賓（馬尼拉）	A
印尼（雅加達）	A、B、C
馬來西亞（吉隆坡）	A、B
英國（倫敦）	A、B
德國（法蘭克福）	A、B、C
美國（矽谷）	A、B
美國（維吉尼亞）	A、B
澳大利亞（雪梨）關停中	B
沙特（利雅得）	A、B
阿聯酋（杜拜）	A

升級環境要求

在IPsec-VPN串連升級為雙隧道模式前，需確保滿足以下要求：

阿里雲帳號下已建立了AliyunServiceRoleForVpn服務關聯角色。
升級過程中，系統需要通過AliyunServiceRoleForVpn服務關聯角色完成VPN網關資源的部署。您可以在VPN網關執行個體購買頁面查看當前阿里雲帳號下是否已建立AliyunServiceRoleForVpn服務關聯角色：
- 如果頁面顯示已建立，則表示阿里雲帳號下已存在AliyunServiceRoleForVpn服務關聯角色，無需再建立。
- 如果頁面提示建立服務關聯角色，請單擊建立服務關聯角色，系統會自動完成AliyunServiceRoleForVpn服務關聯角色的建立。更多資訊，請參見AliyunServiceRoleForVpn。
VPN網關執行個體不能同時開啟IPsec-VPN和SSL-VPN功能。
如果VPN網關執行個體同時開啟了IPsec-VPN和SSL-VPN功能，您可以通過降配關閉IPsec-VPN功能或SSL-VPN功能。具體操作，請參見降配。
關閉功能前，請確保VPN網關執行個體下不存在IPsec串連或SSL服務端。具體操作，請參見刪除IPsec串連或刪除SSL服務端。

VPN網關執行個體的策略路由表或目的路由表下不能存在指向不同IPsec-VPN串連的相同路由。

下表舉例說明並提供相應解決方案。

路由表	源網段	目標網段	下一跳	是否可以升級	解決方案
策略路由表	10.10.10.0/24	172.16.10.0/24	IPsec串連1	不可以因為策略路由表下存在兩條源網段和目標網段均相同，下一跳指向不同IPsec-VPN串連的路由。	刪除一條路由或者修改其中一條路由的源網段或者目標網段。具體操作，請參見配置策略路由。
策略路由表	10.10.10.0/24	172.16.10.0/24	IPsec串連2	不可以因為策略路由表下存在兩條源網段和目標網段均相同，下一跳指向不同IPsec-VPN串連的路由。	刪除一條路由或者修改其中一條路由的源網段或者目標網段。具體操作，請參見配置策略路由。
目的路由表	不涉及	192.168.10.0/24	IPsec串連3	不可以因為目的路由表下存在兩條目標網段相同，下一跳指向不同IPsec-VPN串連的路由。	刪除一條路由或者修改其中一條路由的目標網段。具體操作，請參見配置目的路由。
目的路由表	不涉及	192.168.10.0/24	IPsec串連4	不可以因為目的路由表下存在兩條目標網段相同，下一跳指向不同IPsec-VPN串連的路由。	刪除一條路由或者修改其中一條路由的目標網段。具體操作，請參見配置目的路由。

VPN網關執行個體關聯的VPC執行個體路由表下不能存在目標網段為SSL服務端客戶端網段的子網或者IPsec服務端客戶端網段的子網，下一跳指向VPN網關執行個體的路由。
例如一個SSL服務端的客戶端網段為192.168.10.0/24，則VPN網關關聯的VPC執行個體的路由表下不能存在目標網段為192.168.10.0/25或192.168.10.0/26等子網，下一跳指向VPN網關執行個體的路由。
您可以管理VPC執行個體路由表下的自訂路由。具體操作，請參見建立和管理路由表。
如果VPN網關執行個體下存在多個IPsec-VPN串連，在多個IPsec-VPN串連均使用BGP動態路由協議的情況下，每個IPsec-VPN串連的BGP隧道網段需互不相同。
您可以修改BGP隧道網段。具體操作，請參見修改IPsec串連。
您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個交換器執行個體，並確保交換器執行個體下擁有足夠數量的空閑IP地址。
- 在您指定交換器執行個體時，交換器執行個體所屬的可用性區域必須是支援建立雙隧道模式IPsec-VPN串連的可用性區域。關於可用性區域詳情，請參見支援的地區和可用性區域。
- 如果當前地區下有多個可用性區域均支援建立雙隧道模式的IPsec-VPN串連，則您指定的兩個交換器執行個體必須屬於不同的可用性區域，以實現IPsec-VPN串連可用性區域層級的容災。每個交換器執行個體下需有2個閒置IP地址。
- 如果當前地區下僅有一個可用性區域支援建立雙隧道模式的IPsec-VPN串連，則您需要從該可用性區域下指定兩個交換器執行個體：
  - 如果您指定了相同的交換器執行個體，請確保該交換器執行個體下擁有4個閒置IP地址。
  - 如果您指定了2個不同的交換器執行個體，請確保每個交換器執行個體下擁有2個閒置IP地址。

升級過程說明

警告

VPN網關升級期間無法提供服務，已有串連也會中斷。建議您在網路維護視窗期間進行升級，以免影響業務運行。

升級過程約持續10分鐘，在此期間VPN網關執行個體不支援轉寄流量。
升級期間VPN網關執行個體不支援操作。

升級操作

登入VPN網關管理主控台。
在頂部功能表列，選擇VPN網關執行個體的地區。
在VPN網關頁面，找到目標VPN網關執行個體，單擊執行個體ID。
在VPN網關執行個體頁面的右上方，單擊開啟AZ級高可靠。
在開啟AZ級高可靠對話方塊，指定交換器執行個體然後開啟升級環境校正，確保環境滿足升級要求並瞭解升級風險後，單擊立即開啟。
- 如果升級環境校正失敗，請參見升級環境要求排查問題。
- 單擊立即開啟後，系統將直接開始升級，請耐心等待。

後續步驟

在VPN網關執行個體關聯的VPC執行個體接入了雲企業網的情境下，如果VPC執行個體的路由表中存在指向VPN網關執行個體的自訂路由條目，且該路由條目已經被發布至雲企業網，則升級完成後，該路由條目會變成未發布狀態，您需要重新將該路由條目發布至雲企業網。具體操作，請參見發布路由至轉寄路由器。
如果VPN網關執行個體保留了IPsec-VPN功能，則升級完成後，IPsec-VPN串連的備隧道預設不可用，您需要在IPsec串連的對端網關裝置上添加相關配置使備隧道可用。具體操作，請參見建立VPC到本機資料中心的串連（雙隧道模式）和建立VPC到本機資料中心的串連（雙隧道模式和BGP路由）。
- 升級完成後，VPN網關執行個體會擁有2個IPsec地址，其中一個地址是VPN網關執行個體已經擁有的地址（即升級前的VPN網關IP地址），另一個是系統為VPN網關執行個體新分配的地址，這2個地址用於建立兩條加密隧道。
- 升級完成後，一個IPsec串連執行個體下將擁有主備兩條隧道，兩條隧道預設關聯相同的使用者網關執行個體。主隧道預設為升級前的隧道，升級前後配置保持不變。備隧道預設不可用。
如果VPN網關執行個體保留了SSL-VPN功能，則升級完成後，SSL-VPN相關配置保持不變。您可以開啟VPN網關執行個體的IPsec-VPN功能然後開始建立雙隧道模式的IPsec-VPN串連。具體操作，請參見操作步驟和建立和管理IPsec串連（雙隧道模式）。
升級完成後，VPN網關IP地址將變成SSL地址，僅能用於SSL-VPN功能。在您開啟IPsec-VPN功能後，系統將為VPN網關執行個體重新分配2個IPsec地址用於建立雙隧道模式的IPsec-VPN串連。

重要

使用雙隧道模式的IPsec-VPN串連時，請確保主備隧道同時可用，如果您僅配置或僅使用了其中一條隧道，則無法體驗雙隧道模式IPsec-VPN串連的主備鏈路冗餘能力以及可用性區域層級的容災能力。