本文为您介绍如何组合使用IPsec-VPN连接(其中IPsec连接绑定转发路由器)和物理专线,实现本地数据中心IDC(Internet Data Center)通过主备链路上云并和云上专有网络VPC(Virtual Private Cloud)互通。
场景示例
本文以下图场景为例,为您介绍IPsec-VPN连接(其中IPsec连接绑定转发路由器)联合物理专线实现主备链路上云方案。某企业在上海拥有一个本地IDC,且企业已经在阿里云华东1(杭州)地域部署了业务VPC,VPC中通过云服务器ECS(Elastic Compute Service)等云产品部署了应用业务和数据分析服务,用于后续业务交互和数据分析。企业现在需要部署上云的主备链路,以实现云下IDC和云上VPC的高可靠连接。
网络规划
网络功能规划
在本文场景中使用的网络功能如下:
本地IDC同时通过物理专线和IPsec-VPN连接接入阿里云。
在物理专线和IPsec-VPN连接都正常的情况下,本地IDC与VPC之间的所有流量优先通过物理专线进行传输;当物理专线异常时,本地IDC与VPC之间的所有流量可以自动切换至IPsec-VPN连接进行传输。
建立IPsec-VPN连接时,IPsec连接的网关类型为公网,IPsec连接绑定的资源类型为云企业网。
本地IDC、边界路由器VBR(Virtual border router)实例和IPsec连接均使用BGP动态路由协议,实现路由的自动分发和学习,简化路由配置。
目前仅部分地域的IPsec连接支持BGP动态路由协议。关于地域的详细信息, 请参见【支持BGP】VPN网关支持BGP动态路由公告。
重要本场景流量传输说明如下:
在物理专线、IPsec-VPN连接、BGP动态路由协议均正常运行的情况下,云企业网可以通过物理专线和IPsec-VPN连接同时学习到本地IDC的网段,本地IDC也可以通过物理专线和IPsec-VPN连接同时学习到云企业网传播的VPC实例的路由。云企业网默认通过物理专线学习到的路由的优先级高于通过IPsec-VPN连接学习到的路由,因此VPC实例和本地IDC之间的流量优先通过物理专线传输。
当本地IDC和VBR实例之间的BGP邻居中断时,云企业网会自动撤销通过物理专线学习到的路由,通过IPsec-VPN连接学习到的路由会自动生效,VPC实例和本地IDC之间的流量将会自动通过IPsec-VPN连接进行传输;当本地IDC和VBR实例之间的BGP邻居恢复正常后,VPC实例和本地IDC之间的流量会重新通过物理专线进行传输,IPsec-VPN连接会重新成为备用链路。
网段规划
在您规划网段时,请确保本地IDC和VPC之间要互通的网段没有重叠。
资源 | 网段及IP地址 |
VPC | 主网段:172.16.0.0/16
|
IPsec连接 | BGP配置:隧道网段为169.254.10.0/30,本端BGP地址为169.254.10.1,本端自治系统号使用默认值45104 |
VBR | VBR的配置:
|
本地网关设备 | 本地网关设备的公网IP地址:211.XX.XX.68 |
本地网关设备BGP配置:隧道网段为169.254.10.0/30,本端BGP地址为169.254.10.2,本端自治系统号为65530 | |
本地IDC | 待和VPC互通的网段:
|
准备工作
在开始配置前,请确保您已完成以下操作:
您已经在阿里云华东1(杭州)地域创建了一个VPC实例,并使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络。
您已经创建了云企业网实例,并在华东1(杭州)和华东2(上海)地域分别创建了企业版转发路由器。具体操作,请参见创建云企业网实例和创建转发路由器实例。
重要创建转发路由器实例时,需为转发路由器实例配置转发路由器地址段,否则IPsec连接无法成功绑定转发路由器实例。
如果您已经创建了转发路由器实例,您可以单独为转发路由器实例添加转发路由器地址段。具体操作,请参见添加转发路由器地址段。
配置流程
步骤一:部署物理专线
您需要部署物理专线将本地IDC连接至阿里云。
创建独享物理专线。
本文使用独享专线方式在华东2(上海)地域自主创建1条物理专线连接,命名为物理专线。具体操作,请参见创建和管理独享专线连接。
创建VBR实例。
登录高速通道管理控制台。
在左侧导航栏,单击边界路由器(VBR)。
在顶部状态栏,选择待创建VBR实例的地域。
本文选择华东2(上海)地域。
在边界路由器(VBR)页面,单击创建边界路由器。
在创建边界路由器面板,根据以下信息进行配置,然后单击确定。
下表仅列举本文强相关的配置项,其余配置项保持默认状态。如果您需要了解更多信息,请参见创建和管理边界路由器。
配置项
说明
VBR
账号类型
选择VBR实例的账号类型。
本文选择当前账号。
名称
输入VBR实例的名称。
本文输入VBR。
物理专线接口
选择VBR实例需要绑定的物理专线接口。
VLAN ID
输入VBR实例的VLAN ID。
说明请确保VBR实例的VLAN ID与本地网关设备接口(物理专线连接的接口)划分的VLAN ID一致。
本文输入201。
设置VBR带宽值
选择VBR实例的带宽峰值。
请依据您的实际需求选择适合的带宽峰值。
阿里云侧IPv4互联IP
输入VPC通往本地IDC的路由网关IPv4地址。
本文输入10.0.0.2。
客户侧IPv4互联IP
输入本地IDC通往VPC的路由网关IPv4地址。
本文输入10.0.0.1。
IPv4子网掩码
输入阿里云侧和客户侧IPv4地址的子网掩码。
本文输入255.255.255.252。
为VBR实例配置BGP组。
在边界路由器(VBR)页面,单击目标VBR实例ID。
在边界路由器实例详情页面,单击BGP组页签。
在BGP组页签下,单击创建BGP组,并根据以下信息进行BGP组配置,然后单击确定。
下表仅列举本文强相关的配置项,其余配置项保持默认状态。如果您想要了解更多信息,请参见创建BGP组。
配置项
说明
VBR
名称
输入BGP组的名称。
本文输入VBR-BGP。
Peer AS号
输入本地网关设备的自治系统号。
本文输入本地网关设备的自治系统号65530。
本端AS号
输入VBR实例的自治系统号。
本文输入VBR的自治系统号45104。
为VBR实例配置BGP邻居。
在边界路由器实例详情页面,单击BGP邻居页签。
在BGP邻居页签下,单击创建BGP邻居。
在创建BGP邻居面板,配置BGP邻居信息,然后单击确定。
下表仅列举本文强相关的配置项,其余配置项保持默认状态。如果您想要了解更多信息,请参见创建BGP邻居。
配置项
说明
VBR
BGP组
选择要加入的BGP组。
本文选择VBR-BGP。
BGP邻居IP
输入BGP邻居的IP地址。
本文输入本地网关设备连接物理专线的接口的IP地址10.0.0.1。
为本地网关设备配置BGP路由协议。
为本地网关设备配置BGP路由协议后,本地网关设备和VBR实例之间可以建立BGP邻居关系,实现路由的自动学习和传播。
说明本文以思科防火墙ASA(软件版本9.19.1)作为配置示例。不同软件版本的配置命令可能会有所差异,操作时请根据您的实际环境查询对应文档或咨询相关厂商。更多本地网关设备配置示例,请参见本地网关设备配置示例。
以下内容包含的第三方产品信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
interface GigabitEthernet0/3 nameif VBR1 #配置连接VBR1的接口名称。 security-level 0 ip address 10.0.0.1 255.255.255.0 #GigabitEthernet0/3接口配置的私网IP地址。 no shutdown #开启接口。 ! router bgp 65530 #开启BGP路由协议,并配置本地IDC的自治系统号。本文为65530。 bgp router-id 10.0.0.1 #BGP路由器ID,本文设置为10.0.0.1。 bgp log-neighbor-changes address-family ipv4 unicast neighbor 10.0.0.2 remote-as 45104 #和VBR实例建立BGP邻居关系。 network 192.168.0.0 mask 255.255.255.0 #宣告本地IDC的网段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 10.0.0.2 activate #激活BGP邻居。 neighbor 10.0.0.2 weight 1000 #指定通过物理专线学习到的路由的权重值为1000。 exit-address-family !
步骤二:配置云企业网
部署物理专线后,本地IDC可以通过物理专线接入阿里云,但本地IDC和VPC之间还无法通信,您需要将VBR实例和VPC实例连接至云企业网,通过云企业网实现本地IDC和VPC之间的相互通信。
创建VPC连接。
登录云企业网管理控制台。
在云企业网实例页面,找到在准备工作中创建的云企业网实例,单击云企业网实例ID。
在页签,找到华东1(杭州)地域的转发路由器实例,在操作列单击创建网络实例连接。
在连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
下表仅列举本文强相关的配置项,其余配置项保持默认状态。如果您想要了解更多信息,请参见创建VPC连接。
配置项
配置项说明
VPC连接
实例类型
选择网络实例类型。
本文选择专有网络(VPC)。
地域
选择网络实例所属的地域。
本文选择华东1(杭州)。
转发路由器
系统自动显示当前地域已创建的转发路由器实例ID。
资源归属UID
选择网络实例所属的阿里云账号和当前登录的账号是否为同一个账号。
本文选择同账号。
付费方式
VPC连接的付费方式。默认值为按量付费。关于转发路由器的计费规则,请参见计费说明。
连接名称
输入VPC连接的名称。
本文输入VPC-Attachment。
网络实例
选择网络实例。
本文选择已创建的VPC实例。
交换机
在转发路由器支持的可用区选择交换机实例。
如果转发路由器在当前地域仅支持一个可用区,则您需要在当前可用区选择一个交换机实例。
如果转发路由器在当前地域支持多个可用区,则您需要在至少2个可用区中各选择一个交换机实例。在VPC和转发路由器流量互通的过程中,这2个交换机实例可以实现可用区级别的容灾。
推荐您在每个可用区中都选择一个交换机实例,以减少流量绕行,体验更低传输时延以及更高性能。
请确保选择的每个交换机实例下拥有一个空闲的IP地址。如果VPC实例在转发路由器支持的可用区中并没有交换机实例或者交换机实例下没有空闲的IP地址,您需要新建一个交换机实例。 具体操作,请参见创建和管理交换机。
本文在可用区H下选择交换机1、在可用区I选择交换机2。
高级配置
选择是否开启所有高级配置选项。系统默认选择开启所有高级配置选项。
保持默认配置,即开启所有高级配置选项。
创建VBR连接。
返回页签,找到华东2(上海)地域的转发路由器实例,在操作列单击创建网络实例连接。
在连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
下表仅列举本文强相关的配置项,其余配置项保持默认状态。如果您想要了解更多信息,请参见使用企业版转发路由器创建VBR连接。
配置项
配置项说明
VBR
实例类型
选择网络实例类型。
本文选择边界路由器(VBR)。
地域
选择网络实例所属的地域。
本文选择华东2(上海)。
转发路由器
系统自动显示当前地域已创建的转发路由器实例。
资源归属UID
选择网络实例所属的阿里云账号和当前登录的账号是否为同一个账号。
本文选择同账号。
连接名称
输入网络实例连接的名称。
本文输入VBR-Attachment。
网络实例
选择网络实例。
本文选择VBR。
高级配置
选择是否开启所有高级配置选项。系统默认选择开启所有高级配置选项。
保持默认配置,即开启所有高级配置选项。
创建跨地域连接。
由于VBR实例绑定的转发路由器实例和VPC实例绑定的转发路由器实例位于不同的地域,VBR实例和VPC实例之间默认无法通信。您需要在华东1(杭州)和华东2(上海)地域的转发路由器实例之间创建跨地域连接,实现VBR实例和VPC实例之间的跨地域互通。
在云企业网实例页面,找到目标云企业网实例,单击云企业网实例ID。
在页签,单击设置跨地域带宽。
在连接网络实例页面,根据以下信息配置跨地域连接,然后单击确定创建。
请根据以下信息创建跨地域连接,其余配置项保持默认状态。更多信息,请参见创建跨地域连接。
配置项
说明
实例类型
选择跨地域连接。
地域
选择要互通的地域。
本文选择华东1(杭州)。
转发路由器
系统自动显示当前地域下转发路由器的实例ID。
连接名称
输入跨地域连接的名称。
本文输入跨地域连接。
对端地域
选择要互通的对端地域。
本文选择华东2(上海)。
转发路由器
系统自动显示当前地域下转发路由器的实例ID。
带宽分配方式
跨地域连接支持以下带宽分配方式:
从带宽包分配:从已经购买的带宽包中分配带宽。
按流量付费:按照跨地域连接实际使用的流量计费。
本文选择按流量付费。
带宽
输入跨地域连接的带宽值。单位:Mbps。
默认链路类型
使用默认链路类型。
高级配置
保持默认配置,即选中全部高级配置选项。
步骤三:部署IPsec-VPN连接
完成上述步骤后,本地IDC和VPC之间可以通过物理专线实现互通。您可以开始部署IPsec-VPN连接。
登录VPN网关管理控制台。
创建用户网关。
在建立IPsec-VPN连接前,您需要先创建用户网关,将本地网关设备的信息注册至阿里云上。
在左侧导航栏,选择。
在顶部菜单栏,选择用户网关的地域。
VPN网关产品不支持建立跨境的IPsec-VPN连接,因此在您选择用户网关所属的地域时,需遵循就近原则,即选择离您本地IDC最近的阿里云地域。本文中选择华东2(上海)。
关于跨境连接和非跨境连接的更多信息,请参见非跨境连接。
在用户网关页面,单击创建用户网关。
在创建用户网关面板,根据以下信息进行配置,然后单击确定。
下表仅列举本文强相关的配置项,其余配置项保持默认状态。如果您想要了解更多信息,请参见创建和管理用户网关。
配置项
配置项说明
用户网关
名称
输入用户网关的名称。
本文输入Customer-Gateway。
IP地址
输入阿里云侧待连接的本地网关设备的公网IP地址。
本文输入本地网关设备的公网IP地址211.XX.XX.68。
自治系统号
输入本地网关设备使用的BGP AS号。
本文输入65530。
创建IPsec连接。
创建用户网关后,您需要在阿里云侧创建IPsec连接,阿里云侧将通过IPsec连接与本地IDC之间建立IPsec-VPN连接。
在左侧导航栏,选择。
在顶部菜单栏,选择IPsec连接的地域。
IPsec连接的地域需和用户网关的地域一致。本文选择华东2(上海)。
在IPsec连接页面,单击创建IPsec连接。
在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定。
创建IPsec连接会产生计费,关于IPsec连接的计费说明,请参见计费说明。
配置项
配置项说明
IPsec连接
名称
输入IPsec连接的名称。
本文输入IPsec连接。
绑定资源
选择IPsec连接绑定的资源类型。
本文选择云企业网。
网关类型
选择IPsec连接的网络类型。
本文选择公网。
CEN实例ID
选择云企业网实例。
本文选择在准备工作中已创建的云企业网实例。
转发路由器
选择IPsec连接待绑定的转发路由器实例。
系统根据IPsec连接所在的地域自动选择当前地域下的转发路由器实例。
可用区
在转发路由器支持的可用区中选择部署IPsec连接的可用区。
本文选择上海 可用区F。
路由模式
选择路由模式。
本文选择目的路由模式。
立即生效
选择IPsec连接的配置是否立即生效。取值:
是:配置完成后立即进行协商。
否:当有流量进入时进行协商。
本文选择是。
用户网关
选择IPsec连接关联的用户网关。
本文选择Customer-Gateway。
预共享密钥
输入IPsec连接的认证密钥,用于本地网关设备和IPsec连接之间的身份认证。
密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接。
重要IPsec连接及其对端网关设备配置的预共享密钥需一致,否则系统无法正常建立IPsec-VPN连接。
本文输入fddsFF123****。
启用BGP
选择是否开启BGP功能。BGP功能默认为关闭状态。
本文开启BGP功能。
本端自治系统号
输入IPsec连接的自治系统号。
本文输入45104。
加密配置
添加IKE配置、IPsec配置等加密配置。
除以下参数外,其余配置项保持默认值。更多信息,请参见创建和管理IPsec连接(绑定转发路由器)。
IKE配置的DH分组选择group14。
IPsec配置的DH分组选择group14。
说明您需要根据本地网关设备的支持情况选择加密配置参数,确保IPsec连接和本地网关设备的加密配置保持一致。
BGP配置
隧道网段
输入建立加密隧道时使用的网段。
隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
本文输入169.254.10.0/30。
本端BGP地址
输入IPsec连接的BGP IP地址。
该地址为隧道网段内的一个IP地址。
本文输入169.254.10.1。
高级配置
选择是否启用高级配置,实现IPsec连接路由的自动分发和学习。系统默认启用高级配置。
本文保持默认值,即开启所有高级配置。
IPsec连接创建成功后,系统将自动为IPsec连接分配一个公网IP地址,用于IPsec连接和本地IDC之间建立IPsec-VPN连接。您可以在IPsec连接详情页面查看网关IP地址,如下图所示。
说明IPsec连接只有绑定转发路由器实例后系统才会为其分配网关IP地址。如果在您创建IPsec连接时,IPsec连接的绑定资源类型为不绑定或者为VPN网关,则系统并不会为其分配网关IP地址。
下载IPsec连接对端的配置。
返回到IPsec连接页面,找到刚刚创建的IPsec连接,在操作列单击生成对端配置。
在本地网关设备中添加VPN配置和BGP配置。
创建IPsec连接后,请根据已下载的IPsec连接对端配置信息以及下述步骤,在本地网关设备中添加VPN配置和BGP配置,以便本地IDC和阿里云之间建立IPsec-VPN连接。
说明本文以思科防火墙ASA(软件版本9.19.1)作为配置示例。不同软件版本的配置命令可能会有所差异,操作时请根据您的实际环境查询对应文档或咨询相关厂商。更多本地网关设备配置示例,请参见本地网关设备配置示例。
以下内容包含的第三方产品信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。
登录思科防火墙的命令行窗口并进入配置模式。
ciscoasa> enable Password: ******** #输入进入enable模式的密码。 ciscoasa# configure terminal #进入配置模式。 ciscoasa(config)#查看接口配置和路由配置。
思科防火墙已完成了接口配置,并已开启接口。以下为本文的接口配置示例。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名称。 security-level 0 ip address 211.XX.XX.68 255.255.255.255 #GigabitEthernet0/0接口配置的公网IP地址。 ! interface GigabitEthernet0/2 #连接本地数据中心的接口。 nameif private #GigabitEthernet0/2接口名称。 security-level 100 #指定连接本地数据中心接口的security-level低于连接公网的接口。 ip address 192.168.2.215 255.255.255.0 #GigabitEthernet0/2接口配置的私网IP地址。 ! route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.172 #配置访问阿里云侧IPsec连接公网IP地址的路由,下一跳为公网地址。 route private 192.168.0.0 255.255.0.0 192.168.2.216 #配置去往本地数据中心的路由。为连接公网的接口开启IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2创建IKEv2 Policy,指定IKE阶段认证算法、加密算法、DH分组和SA生存周期,需和阿里云侧保持一致。
重要阿里云侧配置IPsec连接时,IKE配置阶段的加密算法、认证算法和DH分组均只支持指定一个值,不支持指定多个值。建议在思科防火墙中IKE配置阶段的加密算法、认证算法和DH分组也均只指定一个值,该值需与阿里云侧保持一致。
crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定认证算法。 group 14 #指定DH分组。 prf sha #prf和integrity保持一致,阿里云侧prf与认证算法默认保持一致。 lifetime seconds 86400 #指定SA生存周期。创建IPsec proposal和profile,指定思科防火墙侧的IPsec阶段加密算法、认证算法、DH分组和SA生存周期,需和阿里云侧保持一致。
重要阿里云侧配置IPsec连接时,IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值,不支持指定多个值。建议在思科防火墙中IPsec配置阶段的加密算法、认证算法和DH分组也均只指定一个值,该值需与阿里云侧保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #创建ipsec proposal。 protocol esp encryption aes #指定加密算法,协议使用ESP,阿里云侧固定使用ESP协议。 protocol esp integrity sha-1 #指定认证算法,协议使用ESP,阿里云侧固定使用ESP协议。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #创建ipsec profile并应用已创建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,与阿里云侧RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分组。 set security-association lifetime seconds 86400 #指定基于时间的SA生存周期。 set security-association lifetime kilobytes unlimited #关闭基于流量的SA生存周期。创建tunnel group,指定隧道的预共享密钥,需和阿里云侧保持一致。
tunnel-group 47.XX.XX.213 type ipsec-l2l #指定隧道的封装模式为l2l。 tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** #指定隧道对端的预共享密钥,即阿里云侧的预共享密钥。 ikev2 local-authentication pre-shared-key fddsFF123**** #指定隧道本端的预共享密钥,需和阿里云侧的保持一致。 !创建tunnel接口。
interface Tunnel1 #创建隧道接口。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址为外网接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.213 #指定隧道目的地址为阿里云侧IPsec连接的公网IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道应用ipsec profile ALIYUN-PROFILE。 no shutdown #开启隧道接口。 !添加BGP配置,使本地网关设备与IPsec连接建立BGP邻居关系。
router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 45104 #指定BGP邻居,即阿里云侧隧道的IP地址。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate #激活BGP邻居。 neighbor 169.254.10.1 weight 500 #指定通过IPsec-VPN学习到的路由的权重值为500,这些路由的权重值小于通过物理专线学习到的路由的权重值,确保本地IDC去往VPC的流量优先通过物理专线传输。 exit-address-family
步骤四:验证测试
完成上述步骤,本地IDC可通过物理专线或IPsec-VPN连接与VPC互通。在物理专线和IPsec-VPN连接都正常的情况下,本地IDC与VPC之间的所有流量默认只通过物理专线进行转发;当物理专线异常时,本地IDC与VPC之间的所有流量将自动切换至IPsec-VPN连接进行转发。以下内容介绍如何测试网络连通性以及如何验证物理专线和IPsec-VPN连接已实现主备链路冗余。
网络连通性测试。
登录VPC实例下的ECS实例。具体操作,请参见ECS远程连接操作指南。
在ECS实例中执行ping命令,尝试访问本地IDC中的客户端。
ping <本地IDC客户端的IP地址>如果可以收到响应报文,则表示本地IDC和VPC实例之间的网络已连通,可以实现资源互访。
验证物理专线和IPsec-VPN连接已实现主备链路冗余。
在本地IDC的多个客户端中持续向ECS实例发送访问请求或者在客户端中使用iPerf3工具持续向ECS实例发送访问请求。关于如何安装、使用iPerf3工具,请参见物理专线网络性能测试方法。
登录云企业网管理控制台,查看VBR连接流量监控数据。具体操作,请参见监控云企业网资源。
正常情况下,流量默认通过物理专线进行传输,您可以在VBR连接监控页签查看到流量监控数据。
中断物理专线连接。
例如,您可以在本地网关设备上关闭连接物理专线的接口来中断物理专线连接。
重新登录阿里云管理控制台,查看VPN连接(IPsec连接)流量监控数据。具体操作,请参见监控云企业网资源。
正常情况下,物理专线中断后,流量将自动切换至IPsec-VPN连接进行转发,您可以在VPN连接的监控页签查看到流量监控数据。
路由说明
在本文中,创建IPsec连接、创建VPC连接、创建VBR连接、创建跨地域连接时均采用默认路由配置,默认路由配置下云企业网会自动完成路由的分发和学习以实现本地IDC和VPC实例之间的相互通信。默认路由配置说明如下:
IPsec连接
在创建IPsec连接时如果直接绑定转发路由器实例,则系统会自动对IPsec连接进行以下路由配置:
IPsec连接默认被关联至转发路由器实例的默认路由表,转发路由器实例将通过查询默认路由表转发来自IPsec连接的流量。
您为IPsec连接添加的目的路由或者IPsec连接通过BGP动态路由协议学习到的云下路由,均会被自动传播至转发路由器实例的默认路由表。
转发路由器实例会将默认路由表下的其他路由条目自动传播至IPsec连接的BGP路由表中。
IPsec连接会通过BGP动态路由协议将学习到的云上路由自动传播至本地IDC中。
VPC实例
创建VPC连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对VPC实例进行以下路由配置:
自动关联至转发路由器的默认路由表
开启本功能后,VPC连接会自动关联至转发路由器的默认路由表,转发路由器通过查询默认路由表转发VPC实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后,VPC实例会将自身的系统路由传播至转发路由器的默认路由表中,用于网络实例的互通。
自动为VPC的所有路由表配置指向转发路由器的路由
开启本功能后,系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目,其下一跳均指向VPC连接。
重要如果VPC的路由表中已经存在目标网段为10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由条目,则系统无法再自动下发该路由条目,您需要在VPC路由表中手动添加指向VPC连接的路由条目以实现VPC和转发路由器之间的流量互通。
您可以单击发起路由检查查看网络实例内是否存在上述路由。
VBR实例
创建VBR连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对VBR实例进行以下路由配置:
自动关联至转发路由器的默认路由表
开启本功能后,VBR连接会自动关联至转发路由器的默认路由表,转发路由器通过查询默认路由表转发VBR实例的流量。
自动传播系统路由至转发路由器的默认路由表
VBR实例会将自身的系统路由传播至转发路由器的默认路由表中,用于网络实例的互通。
自动发布路由到VBR
开启本功能后,系统自动将VBR连接关联的转发路由器路由表中的路由发布到VBR实例中。
跨地域连接
创建跨地域连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对跨地域连接进行以下路由配置:
自动关联至转发路由器的默认路由表
开启本功能后,跨地域连接将与两个地域的转发路由器的默认路由表建立关联转发关系,两个地域的转发路由器将会通过查询默认路由表转发跨地域间的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后,跨地域连接将与两个地域的转发路由器的默认路由表建立路由学习关系。
自动发布路由到对端地域
开启本功能后,即允许跨地域连接将本端转发路由器路由表(指与跨地域连接建立关联转发关系的路由表)下的路由自动传播至对端转发路由器的路由表(指与跨地域连接建立路由学习关系的路由表)中,用于网络实例跨地域互通。
查看路由条目
您可以在阿里云管理控制台查看对应实例的路由条目信息:
查看转发路由器实例路由条目信息,请参见查看企业版转发路由器路由条目。
查看VPC实例路由条目信息,请参见创建和管理路由表。
查看VBR实例路由条目信息,请进入VBR实例详情页面:
登录高速通道管理控制台。
在左侧导航栏,单击边界路由器(VBR)。
在顶部状态栏,选择VBR实例的地域。
在边界路由器(VBR)页面,单击目标VBR实例ID。
进入VBR实例详情页面在路由条目页签下分别查看VBR实例自定义路由条目、BGP路由条目和CEN路由条目的信息。
查看IPsec连接的路由条目信息,请进入IPsec连接详情页面:
登录VPN网关管理控制台。
在顶部状态栏处,选择IPsec连接所属的地域。
在左侧导航栏,选择。
在IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
进入IPsec连接详情页面在BGP路由表页签下查看IPsec连接的路由条目信息。