全部产品
Search

搜索本产品

    VPN网关:绑定VPN网关场景双隧道IPsec-VPN连接说明

    文档中心

    VPN网关:绑定VPN网关场景双隧道IPsec-VPN连接说明

    更新时间:Nov 12, 2024

    IPsec连接绑定VPN网关的场景下,之前IPsec-VPN连接仅拥有一条加密隧道,在隧道故障后会直接导致网络中断。为提高IPsec-VPN连接的高可用性,VPN网关产品将IPsec-VPN连接升级为双隧道模式,一个IPsec-VPN连接下将包含主备两条隧道,且两条隧道分布在不同的可用区,在主隧道故障后,流量可以通过备隧道进行传输,实现IPsec-VPN连接可用区级别的容灾。

    使用限制

    • 以下地域和可用区支持双隧道模式的IPsec-VPN连接。

      单击查看支持的地域和可用区

      地域

      可用区

      华东1(杭州)

      K、J、I、H、G

      华东2(上海)

      K、L、M、N、B、D、E、F、G

      华东5(南京-本地地域)

      A

      华南1(深圳)

      A(已停止售卖)、E、D、F

      华南2(河源)

      A、B

      华南3(广州)

      A、B

      华北1(青岛)

      B、C

      华北2(北京)

      F、E、H、G、A、C、J、I、L、K

      华北3(张家口)

      A、B、C

      华北5(呼和浩特)

      A、B

      华北6(乌兰察布)

      A、B、C

      西南1(成都)

      A、B

      中国香港

      B、C、D

      新加坡

      A、B、C

      泰国(曼谷)

      A

      日本(东京)

      A、B、C

      韩国(首尔)

      A

      菲律宾(马尼拉)

      A

      印度尼西亚(雅加达)

      A、B、C

      马来西亚(吉隆坡)

      A、B

      英国(伦敦)

      A、B

      德国(法兰克福)

      A、B、C

      美国(硅谷)

      A、B

      美国(弗吉尼亚)

      A、B

      澳大利亚(悉尼)关停中

      B

      沙特(利雅得)

      A、B

      阿联酋(迪拜)

      A

    • 新购VPN网关实例后,默认仅能创建双隧道模式的IPsec-VPN连接,不再支持创建单隧道模式的IPsec-VPN连接。

    • 如果您之前已经创建了VPN网关实例,则这些VPN网关实例默认只能创建单隧道模式的IPsec-VPN连接。推荐您尽快将IPsec-VPN连接升级为双隧道模式,以体验高可用的IPsec-VPN连接。升级后该VPN网关实例不再支持创建单隧道模式的IPsec-VPN连接。具体操作,请参见升级IPsec-VPN连接为双隧道模式

    双隧道模式组网说明

    image

    单隧道模式下IPsec-VPN连接仅存在一条隧道,在隧道故障后会直接导致网络中断。双隧道模式下一个IPsec-VPN连接下存在两条加密隧道,互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输。

    • 在双隧道模式下,创建VPN网关实例时,您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例,用于创建双隧道的IPsec-VPN连接,以实现IPsec-VPN连接可用区级别的容灾。

      说明

      对于仅支持一个可用区的地域 ,不支持可用区级别的容灾,建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用。支持选择相同的交换机实例。

    • 创建VPN网关实例后,系统会为VPN网关实例分配两个不同的IP地址,用于建立两条隧道。

      对于公网网络类型的VPN网关实例,当您开启SSL-VPN功能后,系统会额外为VPN网关实例分配一个IP地址,用于客户端和VPN网关之间建立SSL-VPN连接,SSL-VPN连接的IP地址与IPsec-VPN连接的两个IP地址不相同。

    • 在VPN管理控制台创建IPsec连接时需要对两条隧道分别进行配置,每条隧道关联一个用户网关(两条隧道可以关联相同的用户网关)。

      配置完成后,您还需要在IPsec连接对端的网关设备上添加VPN配置分别与两条隧道建立VPN连接,以建立双隧道的IPsec-VPN连接。

      重要

      在创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力。

    双隧道模式流量传输说明

    image

    • 从VPN网关侧去往对端的方向(图中绿色流量方向)

      • 在创建IPsec-VPN连接时,如果您仅配置了一条隧道(即仅启用一条隧道),则系统仅通过启用的隧道传输从VPN网关侧去往对端方向的流量,在隧道故障时,流量传输会中断。

      • 在创建IPsec-VPN连接时,如果您配置了两条隧道(即两条隧道均启用),则系统优先通过主隧道传输从VPN网关侧去往对端方向的流量,在主隧道故障时,系统会通过备隧道传输从VPN网关侧去往对端方向的流量。在主隧道恢复后,则该方向的流量会重新切换到主隧道进行传输。

    • 从对端去往VPN网关侧的方向(图中黑色流量方向)

      该方向的流量路径依赖于对端网关设备的路由配置。

      例如在本地IDC通过IPsec-VPN连接与VPC互通的场景中,您可以在本地网关设备上添加路由配置使本地IDC和VPC之间双方向的流量均通过主隧道传输,您也可以使VPC去往本地IDC的流量通过主隧道进行传输,使本地IDC去往VPC的流量通过备隧道进行传输。

    双隧道模式路由配置原则

    在使用双隧道模式的IPsec-VPN连接时,推荐您按照以下原则为IPsec-VPN连接添加路由配置,以提高IPsec-VPN连接的稳定性:

    • 对于一个IPsec-VPN连接下的两条隧道,建议配置相同的路由协议,即仅为IPsec-VPN连接配置静态路由协议或为两条隧道同时配置BGP动态路由协议。

    • 在IPsec-VPN连接配置BGP动态路由协议的情况下,两条隧道的本端自治系统号需保持相同,两条隧道对端的BGP AS号可以不相同,但建议保持相同。

    • 对于一个VPN网关下存在多个IPsec-VPN连接的场景:

      • 如果为多个IPsec-VPN连接同时配置了静态路由,则不同IPsec-VPN连接的目的路由或者策略路由的目标网段之间不能冲突,否则会影响路由生效。

      • 如果为多个IPsec-VPN连接同时配置了BGP动态路由,则VPN网关侧通过多条IPsec-VPN连接学习到的路由条目的目标网段之间不能冲突,否则会影响路由生效。

    单隧道模式和多隧道模式差异对比

    说明

    IPsec-VPN连接升级至双隧道模式后,计费方式不变且无新增费用。

    差异点

    单隧道模式

    双隧道模式

    单个IPsec-VPN连接下的隧道数量

    一条

    两条

    关联的交换机数量

    创建VPN网关实例时仅需指定一个交换机。

    创建VPN网关实例时需指定两个分布在不同可用区的交换机。

    高可用性

    需通过在VPN网关实例下创建多条IPsec-VPN连接或者创建多个VPN网关实例实现高可用。

    通过一个IPsec-VPN连接下的两条隧道即可实现高可用。

    配置路由权重值

    支持

    不支持

    健康检查功能

    支持

    不支持

    VPN网关的IP地址

    创建VPN网关实例后,系统仅为VPN网关实例分配一个IP地址。

    VPN网关使用该IP地址和对端建立IPsec-VPN连接或SSL-VPN连接。

    创建VPN网关实例后,系统最多为VPN网关实例分配三个IP地址(指VPN网关实例同时开启IPsec-VPN和SSL-VPN功能的场景),其中IPsec-VPN连接使用两个IP地址,用于建立两条加密隧道,SSL-VPN连接使用一个IP地址用于和客户端建立连接。三个IP地址互不相同。

    相关文档

    建立VPC到VPC的IPsec-VPN连接(双隧道模式)