如何将IPsec-VPN连接升级为双隧道模式 - VPN网关

双隧道模式的IPsec-VPN连接拥有主备两条隧道，在主隧道故障后，流量可以通过备隧道进行传输，提高了IPsec-VPN连接的高可用性。本文介绍如何将IPsec-VPN连接升级为双隧道模式。

背景信息

升级IPsec-VPN连接为双隧道模式前，建议您先了解双隧道模式的组网拓扑、流量传输路径等信息。相关文档，请参见【升级公告】IPsec-VPN连接升级为双隧道模式。

支持的地域和可用区

以下地域和可用区的IPsec-VPN连接支持升级为双隧道模式。

地域	可用区
华东1（杭州）	K、J、I、H、G
华东2（上海）	K、L、M、N、B、D、E、F、G
华东5（南京-本地地域）	A
华南1（深圳）	A（已停止售卖）、E、D、F
华南2（河源）	A、B
华南3（广州）	A、B
华北1（青岛）	B、C
华北2（北京）	F、E、H、G、A、C、J、I、L、K
华北3（张家口）	A、B、C
华北5（呼和浩特）	A、B
华北6（乌兰察布）	A、B、C
西南1（成都）	A、B
中国香港	B、C、D
新加坡	A、B、C
泰国（曼谷）	A
日本（东京）	A、B、C
韩国（首尔）	A
菲律宾（马尼拉）	A
印度尼西亚（雅加达）	A、B、C
马来西亚（吉隆坡）	A、B
英国（伦敦）	A、B
德国（法兰克福）	A、B、C
美国（硅谷）	A、B
美国（弗吉尼亚）	A、B
澳大利亚（悉尼）关停中	B
沙特（利雅得）	A、B
阿联酋（迪拜）	A

升级环境要求

在IPsec-VPN连接升级为双隧道模式前，需确保满足以下要求：

阿里云账号下已创建了AliyunServiceRoleForVpn服务关联角色。
升级过程中，系统需要通过AliyunServiceRoleForVpn服务关联角色完成VPN网关资源的部署。您可以在VPN网关实例购买页面查看当前阿里云账号下是否已创建AliyunServiceRoleForVpn服务关联角色：
- 如果页面显示已创建，则表示阿里云账号下已存在AliyunServiceRoleForVpn服务关联角色，无需再创建。
- 如果页面提示创建服务关联角色，请单击创建服务关联角色，系统会自动完成AliyunServiceRoleForVpn服务关联角色的创建。更多信息，请参见AliyunServiceRoleForVpn。
VPN网关实例不能同时开启IPsec-VPN和SSL-VPN功能。
如果VPN网关实例同时开启了IPsec-VPN和SSL-VPN功能，您可以通过降配关闭IPsec-VPN功能或SSL-VPN功能。具体操作，请参见降配。
关闭功能前，请确保VPN网关实例下不存在IPsec连接或SSL服务端。具体操作，请参见删除IPsec连接或删除SSL服务端。

VPN网关实例的策略路由表或目的路由表下不能存在指向不同IPsec-VPN连接的相同路由。

下表举例说明并提供相应解决方案。

路由表	源网段	目标网段	下一跳	是否可以升级	解决方案
策略路由表	10.10.10.0/24	172.16.10.0/24	IPsec连接1	不可以因为策略路由表下存在两条源网段和目标网段均相同，下一跳指向不同IPsec-VPN连接的路由。	删除一条路由或者修改其中一条路由的源网段或者目标网段。具体操作，请参见配置策略路由。
策略路由表	10.10.10.0/24	172.16.10.0/24	IPsec连接2	不可以因为策略路由表下存在两条源网段和目标网段均相同，下一跳指向不同IPsec-VPN连接的路由。	删除一条路由或者修改其中一条路由的源网段或者目标网段。具体操作，请参见配置策略路由。
目的路由表	不涉及	192.168.10.0/24	IPsec连接3	不可以因为目的路由表下存在两条目标网段相同，下一跳指向不同IPsec-VPN连接的路由。	删除一条路由或者修改其中一条路由的目标网段。具体操作，请参见配置目的路由。
目的路由表	不涉及	192.168.10.0/24	IPsec连接4	不可以因为目的路由表下存在两条目标网段相同，下一跳指向不同IPsec-VPN连接的路由。	删除一条路由或者修改其中一条路由的目标网段。具体操作，请参见配置目的路由。

VPN网关实例关联的VPC实例路由表下不能存在目标网段为SSL服务端客户端网段的子网或者IPsec服务端客户端网段的子网，下一跳指向VPN网关实例的路由。
例如一个SSL服务端的客户端网段为192.168.10.0/24，则VPN网关关联的VPC实例的路由表下不能存在目标网段为192.168.10.0/25或192.168.10.0/26等子网，下一跳指向VPN网关实例的路由。
您可以管理VPC实例路由表下的自定义路由。具体操作，请参见创建和管理路由表。
如果VPN网关实例下存在多个IPsec-VPN连接，在多个IPsec-VPN连接均使用BGP动态路由协议的情况下，每个IPsec-VPN连接的BGP隧道网段需互不相同。
您可以修改BGP隧道网段。具体操作，请参见修改IPsec连接。
您需要从VPN网关实例关联的VPC实例下指定两个交换机实例，并确保交换机实例下拥有足够数量的空闲IP地址。
- 在您指定交换机实例时，交换机实例所属的可用区必须是支持创建双隧道模式IPsec-VPN连接的可用区。关于可用区详情，请参见支持的地域和可用区。
- 如果当前地域下有多个可用区均支持创建双隧道模式的IPsec-VPN连接，则您指定的两个交换机实例必须属于不同的可用区，以实现IPsec-VPN连接可用区级别的容灾。每个交换机实例下需有2个空闲的IP地址。
- 如果当前地域下仅有一个可用区支持创建双隧道模式的IPsec-VPN连接，则您需要从该可用区下指定两个交换机实例：
  - 如果您指定了相同的交换机实例，请确保该交换机实例下拥有4个空闲的IP地址。
  - 如果您指定了2个不同的交换机实例，请确保每个交换机实例下拥有2个空闲的IP地址。

升级过程说明

警告

VPN网关升级期间无法提供服务，已有连接也会中断。建议您在网络维护窗口期间进行升级，以免影响业务运行。

升级过程约持续10分钟，在此期间VPN网关实例不支持转发流量。
升级期间VPN网关实例不支持操作。

升级操作

登录VPN网关管理控制台。
在顶部菜单栏，选择VPN网关实例的地域。
在VPN网关页面，找到目标VPN网关实例，单击实例ID。
在VPN网关实例页面的右上角，单击开启AZ级高可靠。
在开启AZ级高可靠对话框，指定交换机实例然后开启升级环境校验，确保环境满足升级要求并了解升级风险后，单击立即开启。
- 如果升级环境校验失败，请参见升级环境要求排查问题。
- 单击立即开启后，系统将直接开始升级，请耐心等待。

后续步骤

在VPN网关实例关联的VPC实例接入了云企业网的场景下，如果VPC实例的路由表中存在指向VPN网关实例的自定义路由条目，且该路由条目已经被发布至云企业网，则升级完成后，该路由条目会变成未发布状态，您需要重新将该路由条目发布至云企业网。具体操作，请参见发布路由至转发路由器。
如果VPN网关实例保留了IPsec-VPN功能，则升级完成后，IPsec-VPN连接的备隧道默认不可用，您需要在IPsec连接的对端网关设备上添加相关配置使备隧道可用。具体操作，请参见建立VPC到本地数据中心的连接（双隧道模式）和建立VPC到本地数据中心的连接（双隧道模式和BGP路由）。
- 升级完成后，VPN网关实例会拥有2个IPsec地址，其中一个地址是VPN网关实例已经拥有的地址（即升级前的VPN网关IP地址），另一个是系统为VPN网关实例新分配的地址，这2个地址用于建立两条加密隧道。
- 升级完成后，一个IPsec连接实例下将拥有主备两条隧道，两条隧道默认关联相同的用户网关实例。主隧道默认为升级前的隧道，升级前后配置保持不变。备隧道默认不可用。
如果VPN网关实例保留了SSL-VPN功能，则升级完成后，SSL-VPN相关配置保持不变。您可以打开VPN网关实例的IPsec-VPN功能然后开始创建双隧道模式的IPsec-VPN连接。具体操作，请参见操作步骤和创建和管理IPsec连接（双隧道模式）。
升级完成后，VPN网关IP地址将变成SSL地址，仅能用于SSL-VPN功能。在您开启IPsec-VPN功能后，系统将为VPN网关实例重新分配2个IPsec地址用于建立双隧道模式的IPsec-VPN连接。

重要

使用双隧道模式的IPsec-VPN连接时，请确保主备隧道同时可用，如果您仅配置或仅使用了其中一条隧道，则无法体验双隧道模式IPsec-VPN连接的主备链路冗余能力以及可用区级别的容灾能力。