本文介绍如何使用公网网络类型的VPN网关在专有网络VPC(Virtual Private Cloud)和本地数据中心之间建立IPsec-VPN连接(单隧道模式),并通过BGP动态路由协议自动学习路由实现VPC与本地数据中心间的资源互通,降低网络维护成本和网络配置风险。
环境要求
IPsec连接绑定公网网络类型的VPN网关实例时,本地数据中心的网关设备必须配置公网IP地址。
本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和转发路由器建立IPsec-VPN连接。
本地数据中心的网段与待访问的网段没有重叠。
BGP动态路由支持的地域
区域 | 地域 |
亚太 | 华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、中国香港、日本(东京)、新加坡、澳大利亚(悉尼)关停中、马来西亚(吉隆坡)、印度尼西亚(雅加达) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷) |
中东 | 阿联酋(迪拜) |
场景示例
本文以下图场景为例。某公司已在德国(法兰克福)地域创建了一个VPC,私网网段为10.0.0.0/8,自治系统号ASN(Autonomous System Number)为65530。该公司在法兰克福拥有本地数据中心,公网IP为2.XX.XX.2,私网网段为172.17.0.0/16,ASN为65531。因业务发展,需要云上VPC与本地数据中心互通。
您可以通过IPsec-VPN建立VPC到本地数据中心的VPN连接,并配置BGP动态路由。配置成功后,VPC和本地数据中心通过BGP动态路由协议自动学习路由实现资源互通,降低网络维护成本和网络配置风险。
在互联网中,一个自治系统AS(Autonomous System)是一个有权自主决定在本系统中应采用何种路由协议的小型单位。这个网络单位可以是一个简单的网络也可以是一个或多个普通的网络管理员来控制的网络群体,它是一个单独的可管理的网络单元。一个自治系统将会分配一个全局的唯一的号码,这个号码叫做自治系统号(ASN)。
准备工作
您已经在德国(法兰克福)地域创建了VPC并部署了云服务。具体操作,请参见搭建IPv4专有网络。
您已经了解VPC中的ECS实例所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则和添加安全组规则。
配置步骤
步骤一:创建VPN网关
- 登录VPN网关管理控制台。
在VPN网关页面,单击创建VPN网关。
在购买页面,根据以下信息创建VPN网关,然后单击立即购买并完成支付。
以下仅列举本文强相关的配置,其余配置项保持默认值或为空。更多信息,请参见创建和管理VPN网关实例。
配置
说明
地域
选择VPN网关的地域。
确保VPC的地域和VPN网关的地域相同。本示例选择德国(法兰克福)。
网关类型
选择VPN网关实例的类型。
默认值:普通型。
网络类型
选择实例的网络类型。本示例选择公网。
隧道
系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。
单隧道
双隧道
关于IPsec-VPN连接隧道模式的说明,请参见【升级公告】IPsec-VPN连接升级为双隧道模式。
专有网络
选择要连接的VPC。本示例选择德国(法兰克福)地域创建的VPC。
虚拟交换机
从VPC实例中选择一个交换机实例。
IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。
IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。
IPsec-VPN功能开启后,系统会在两个交换机实例下各创建一个弹性网卡ENI(Elastic Network Interfaces),作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。
说明系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。
创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。
虚拟交换机2
IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。
IPsec-VPN
选择是否开启IPsec-VPN功能。 本示例选择开启。
SSL-VPN
选择是否开启SSL-VPN功能。 本示例选择关闭。
创建好的VPN网关的状态是准备中,约1~5分钟左右会变更为正常。正常状态表明VPN网关已经完成了初始化,可以正常使用。VPN网关创建后,系统会为VPN网关自动分配一个公网IP地址用于建立VPN连接。
如果您没有创建新的VPN网关,计划使用存量的VPN网关实现本文场景,请确保您存量的VPN网关已升级至最新版本。如果您存量VPN网关不是最新版本,默认您无法使用BGP动态路由功能。
您可以在升级按钮处查看VPN网关是否是最新版本,如果不是最新版本,您可以通过升级按钮进行升级。具体操作,请参见升级VPN网关。
步骤二:开启BGP
BGP用于在不同的自治系统(AS)之间交换路由信息。使用BGP动态路由功能前,您需要为VPN网关开启BGP功能。
在左侧导航栏,选择。
在顶部菜单栏,选择VPN网关实例的地域。
在VPN网关页面,找到已创建的VPN网关,在路由自动传播列开启路由自动传播功能。
开启后,VPN网关会将BGP路由条目自动传播到VPC中。
步骤三:创建用户网关
您可以通过创建用户网关,将本地数据中心的公网IP地址和BGP AS号注册到阿里云上。
在左侧导航栏,选择。
在顶部菜单栏,选择用户网关的地域。
说明用户网关的地域必须和VPN网关实例的地域相同。
在用户网关页面,单击创建用户网关。
在创建用户网关面板,根据以下信息配置用户网关,然后单击确定。
以下仅列举本文强相关配置项,其余配置保持默认值或为空。更多信息,请参见创建和管理用户网关。
配置
说明
IP地址
输入本地数据中心网关设备的公网IP地址。本示例输入2.XX.XX.2。
自治系统号
输入本地数据中心的自治系统号。本示例输入65531。
步骤四:创建IPsec连接
在左侧导航栏,选择。
在顶部菜单栏,选择IPsec连接实例的地域。
说明IPsec连接实例的地域必须和VPN网关实例的地域相同。
在IPsec连接页面,单击创建IPsec连接。
在创建IPsec连接页面,根据以下信息创建IPsec连接,然后单击确定。
以下仅列举本文强相关配置项,其余配置保持默认值或为空。更多信息,请参见创建和管理IPsec连接(单隧道模式)。
配置
说明
绑定资源
选择IPsec连接绑定的资源类型。
本文选择VPN网关。
VPN网关
选择要连接的VPN网关。
选择步骤一中创建的VPN网关。
路由模式
选择路由模式。
IPsec连接支持目的路由模式和感兴趣流模式。在IPsec连接使用BGP动态路由协议的情况下,推荐使用目的路由模式。本示例选择目的路由模式。
立即生效
选择是否立即生效。
是:配置完成后立即进行协商。
否:当有流量进入时进行协商。
本示例选择是。
用户网关
选择要连接的用户网关。
选择步骤三中创建的用户网关。
预共享密钥
输入预共享密钥。
请确保要建立的IPsec连接侧和本地数据中心网关设备的预共享密钥一致。本示例输入123456****。
启用BGP
如果IPsec连接需要使用BGP路由协议,需要打开BGP功能的开关,系统默认关闭BGP功能。
本示例开启BGP功能。
本端自治系统号
输入隧道本端的自治系统号。默认值:45104。
本示例输入65530。
加密配置
除以下参数外,其余配置项保持默认值。
IKE配置的DH分组选择group14。
IPsec配置的DH分组选择group14。
说明您需要根据本地网关设备的支持情况选择加密配置参数,确保IPsec连接和本地网关设备的加密配置保持一致。
BGP配置
隧道网段
输入IPsec隧道的网段。本示例输入169.254.10.0/30。
本端BGP地址
输入本端BGP地址,该地址为隧道网段内的一个IP地址。本示例输入169.254.10.1。
在创建成功对话框中,单击取消。
步骤五:在本地网关设备中添加VPN配置
创建IPsec连接后,您还需要在本地网关设备中加载VPN配置,才能建立VPC到本地数据中心的VPN连接。
下载本地网关设备需要添加的VPN配置。具体操作,请参见下载IPsec连接配置。
在本地网关设备中添加VPN配置。具体操作,请参见思科防火墙配置示例。
请查阅文档“单隧道配置示例”部分。
IPsec-VPN连接建立成功后,云上云下会自动通过BGP动态路由协议传播路由:
您在本地网关设备中通过BGP宣告本地数据中心的网段后,云上VPN网关会将通过BGP学习到的本地数据中心的路由自动传播到VPC的系统路由表中。您可以在VPC系统路由表的动态路由条目页签下查看路由条目信息。
云上VPN网关自动学习VPC系统路由表中的系统路由条目,并自动传播给本地网关设备。
步骤六:测试连通性
登录到VPC内一台ECS实例。关于如何登录ECS实例,请参见ECS远程连接方式概述。
通过
ping命令,访问本地数据中心的客户端,验证通信是否正常。经验证,VPC ECS实例可以正常访问本地数据中心的客户端。
登录本地数据中心客户端。
通过
ping命令,访问VPC下的ECS实例,验证通信是否正常。经验证,本地数据中心客户端可以正常访问VPC ECS实例。
