場景示例

本文以下圖場景為例。某企業在阿里云德國（法蘭克福）地域創建了一個VPC，并在AWS的歐洲（法蘭克福）地域也擁有一個VPC，企業希望阿里云VPC和AWS VPC可以互相通信。

企業可以使用阿里云VPN網關產品（使用公網網絡類型的VPN網關實例）和AWS VPN產品在兩個VPC之間建立IPsec-VPN連接，實現兩個VPC之間的加密通信。

配置流程

步驟三：在阿里云部署VPN網關

在AWS平臺完成VPN配置后，請根據以下信息在阿里云側部署VPN網關，以便AWS VPC和阿里云VPC之間建立IPsec-VPN連接。

1. 創建用戶網關。

   1. 登錄VPN網關管理控制臺。

   2. 在左側導航欄，選擇網間互聯 > VPN > 用戶網關。

   3. 在頂部菜單欄選擇用戶網關的地域。

      用戶網關地域需和VPN網關實例的地域相同。

   4. 在用戶網關頁面，單擊創建用戶網關。

   5. 在創建用戶網關面板，根據以下信息進行配置，然后單擊確定。

      您需要創建兩個用戶網關，并將AWS平臺站點到站點VPN連接的隧道外部IP地址作為用戶網關的IP地址，以建立兩個加密隧道。以下僅列舉本文強相關配置項，其余配置保持默認值或為空。更多信息，請參見創建和管理用戶網關。

      重要

      僅使用每個站點到站點VPN連接的Tunnel1的外部IP地址作為用戶網關的地址。每個站點到站點VPN連接的Tunnel2的外部IP地址默認不使用，IPsec-VPN連接創建完成后，每個站點到站點VPN連接的Tunnel2默認不通。

      配置項	說明	用戶網關1	用戶網關2
      名稱	輸入用戶網關的名稱。	輸入用戶網關1。	輸入用戶網關2。
      IP地址	輸入AWS平臺隧道的外部IP地址。	輸入3.XX.XX.52。	輸入3.XX.XX.56。
      自治系統號	輸入AWS虛擬私有網關的BGP AS號。 說明 使用BGP動態路由方式時，需配置該項。	輸入64512。	輸入64512。

2. 創建IPsec連接。

   1. 在左側導航欄，選擇網間互聯 > VPN > IPsec連接。

   2. 在頂部菜單欄選擇IPsec連接的地域。

      IPsec連接的地域需和VPN網關實例的地域相同。

   3. 在IPsec連接頁面，單擊創建IPsec連接。

   4. 在創建IPsec連接頁面，根據以下信息配置IPsec連接，然后單擊確定。

      配置項	說明	本文示例值
      名稱	輸入IPsec連接的名稱。	輸入IPsec連接。
      綁定資源	選擇IPsec連接綁定的資源類型。	選擇VPN網關。
      VPN網關	選擇IPsec連接關聯的VPN網關實例。	選擇已創建的VPN網關。
      路由模式	選擇路由模式。 目的路由模式：基于目的IP地址路由和轉發流量。 感興趣流模式：基于源IP地址和目的IP地址精確的路由和轉發流量。	本文使用靜態路由方式時，選擇使用感興趣流模式（推薦）。 本端網段：輸入10.0.0.0/16。 對端網段：輸入192.168.0.0/16。 本文使用BGP動態路由方式時，選擇使用目的路由模式（推薦）。
      立即生效	選擇IPsec連接的配置是否立即生效。取值： 是：配置完成后立即進行協商。 否：當有流量進入時進行協商。	選擇是。
      啟用BGP	如果IPsec連接需要使用BGP路由協議，需要打開BGP功能的開關，系統默認關閉BGP功能。	本文此處保持默認值不打開BGP配置開關，默認為靜態路由方式。IPsec連接創建完成后如需使用BGP動態路由，則再單獨添加BGP配置。
      Tunnel 1	為隧道1（主隧道）添加VPN相關配置。 系統默認隧道1為主隧道，隧道2為備隧道，且不支持修改。
      用戶網關	為主隧道添加待關聯的用戶網關實例。	選擇用戶網關1。
      預共享密鑰	輸入主隧道的認證密鑰，用于身份認證。 密鑰長度為1~100個字符，支持數字、大小寫英文字母及右側字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 若您未指定預共享密鑰，系統會隨機生成一個16位的字符串作為預共享密鑰。 重要 隧道及其對端網關設備配置的預共享密鑰需一致，否則系統無法正常建立IPsec-VPN連接。	當前隧道的認證密鑰需和連接的AWS平臺隧道的密鑰一致。
      加密配置	添加IKE配置、IPsec配置、DPD、NAT穿越等配置。	IKE配置的SA生存周期（秒）需與AWS平臺保持一致，本文設置為28800。 IPsec配置的SA生存周期（秒）需與AWS平臺保持一致，本文設置為3600。 其余配置項使用默認值。關于默認值的說明，請參見創建和管理IPsec連接（雙隧道模式）。
      Tunnel 2	為隧道2（備隧道）添加VPN相關配置。
      用戶網關	為備隧道添加待關聯的用戶網關實例。	選擇用戶網關2。
      預共享密鑰	輸入備隧道的認證密鑰，用于身份認證。	當前隧道的認證密鑰需和連接的AWS平臺隧道的密鑰一致。
      加密配置	添加IKE配置、IPsec配置、DPD、NAT穿越等配置。	IKE配置的SA生存周期（秒）需與AWS平臺保持一致，本文設置為28800。 IPsec配置的SA生存周期（秒）需與AWS平臺保持一致，本文設置為3600。 其余配置項使用默認值。關于默認值的說明，請參見創建和管理IPsec連接（雙隧道模式）。

   5. 在創建成功對話框中，單擊取消。

3. 配置VPN網關路由。

   使用靜態路由方式

   創建IPsec連接后需要為VPN網關實例配置路由。創建IPsec連接時，如果路由模式您選擇了感興趣流模式，在IPsec連接創建完成后，系統會自動在VPN網關實例下創建策略路由，路由是未發布狀態。您需要執行本操作，將VPN網關實例下的策略路由發布至VPC中。

   1. 在左側導航欄，選擇網間互聯 > VPN > VPN網關。

   2. 在頂部菜單欄，選擇VPN網關實例的地域。

   3. 在VPN網關頁面，單擊目標VPN網關實例ID。

   4. 在VPN網關實例詳情頁面單擊策略路由表頁簽，找到目標路由條目，在操作列單擊發布。

   5. 在發布路由對話框，單擊確定。

   使用BGP動態路由方式

   1. 為IPsec連接添加BGP配置。

      1. 在左側導航欄，選擇網間互聯 > VPN > IPsec連接。

      2. 在IPsec連接頁面，找到IPsec連接，單擊IPsec連接ID。

      3. 在IPsec連接基本信息區域，在啟用BGP右側單擊按鈕，在BGP配置對話框根據以下信息進行配置，然后單擊確定。

         配置項	配置項說明	IPsec連接配置
         本端自治系統號	輸入IPsec連接的自治系統號。	本文輸入65530。
         Tunnel 1	為主隧道添加BGP配置。	為IPsec連接的主隧道添加BGP配置。
         隧道網段	輸入建立加密隧道時使用的網段。	本文輸入169.254.116.208/30。
         本端BGP地址	輸入IPsec連接的BGP IP地址。 該地址為隧道網段內的一個IP地址。	本文輸入169.254.116.210。
         Tunnel 2	為備隧道添加BGP配置。	為IPsec連接的備隧道添加BGP配置。
         隧道網段	輸入建立加密隧道時使用的網段。	本文輸入169.254.214.96/30。
         本端BGP地址	輸入IPsec連接的BGP IP地址。 該地址為隧道網段內的一個IP地址。	本文輸入169.254.214.98。

   2. 根據以下步驟為VPN網關實例開啟BGP路由自動傳播功能。

      1. 在左側導航欄，選擇網間互聯 > VPN > VPN網關。

      2. 在VPN網關頁面，找到VPN網關實例，在操作列選擇 > 開啟路由自動傳播。

      3. 在開啟路由自動傳播對話框，單擊確定。