在IPsec连接绑定转发路由器实例的场景下,IPsec-VPN可以在本地数据中心与转发路由器间建立网络连接,使本地数据中心可以通过转发路由器访问其他网络。
环境要求
使用IPsec-VPN功能建立本地数据中心与转发路由器的网络连接前,请确保您的环境满足以下条件:
公网网络类型的IPsec连接绑定转发路由器实例时,本地数据中心的网关设备必须配置公网IP地址。
对于支持IPsec-VPN连接双隧道模式的地域,推荐本地数据中心的网关设备配置2个公网IP地址或者本地数据中心拥有两个本地网关设备,每个本地网关设备均拥有一个公网IP地址,以建立高可用的IPsec-VPN连接。关于支持IPsec-VPN连接双隧道模式的地域信息,请参见绑定VPN网关场景双隧道IPsec-VPN连接说明。
本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和转发路由器建立IPsec-VPN连接。
本地数据中心的网段与待访问的网段没有重叠。
本地数据中心要访问的网络内如果存在访问控制等安全策略,需要调整安全策略允许本地数据中心的访问。
使用限制
目前,多个地域下的IPsec连接支持绑定转发路由器实例。关于支持的地域详情,请参见IPsec-VPN功能支持的地域。
在IPsec连接绑定转发路由器的场景下,IPsec连接仅支持绑定企业版转发路由器实例。
使用流程
配置步骤序号 | 配置步骤及操作文档链接 | 配置步骤说明 |
1 | 云企业网实例是转发路由器实例的载体,创建转发路由器实例前需要创建一个云企业网实例。 | |
2 | 转发路由器实例是地域范围内的核心转发网元,您需要在本地数据中心所在的阿里云地域或者本地数据中心临近的阿里云地域创建转发路由器实例。 重要 创建转发路由器实例时,需为转发路由器实例配置转发路由器地址段,否则IPsec连接无法成功绑定转发路由器实例。 如果您已经创建了转发路由器实例,您可以单独为转发路由器实例添加转发路由器地址段。具体操作,请参见添加转发路由器地址段。 | |
3 | 通过创建用户网关,将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 | |
4 | 一个IPsec连接表示一条本地数据中心和转发路由器之间的加密通信通道。 创建IPsec连接时,绑定资源需选择为云企业网或者不绑定。 | |
5 | 本地网关设备需添加VPN配置,以便和IPsec连接协商建立IPsec-VPN连接。 | |
6 | 您需要在IPsec连接中配置去往本地数据中心的路由,并将路由发布至转发路由器实例的路由表中以实现本地数据中心和转发路由器之间的流量互通。 | |
7 | 测试连通性 | 登录本地数据中心的一台服务器,通过ping命令,ping目标网络内的一台服务器的私网IP地址,验证通信是否正常。 |