本文介紹如何在本地數據中心IDC(Internet Data Center)和專有網絡VPC(Virtual Private Cloud)之間建立多條公網IPsec-VPN連接,組成ECMP(Equal-Cost Multipath Routing)鏈路實現本地IDC和VPC之間流量的負載分擔。
場景示例
本文以上圖場景為例。某企業在中國杭州擁有一個本地IDC,在阿里云華東2(上海)地域擁有一個VPC實例,VPC實例中已通過云服務器ECS(Elastic Compute Service)部署了相關業務。企業希望本地IDC可以通過VPN網關產品加密上云,實現和VPC實例之間的相互通信,同時希望本地IDC和VPC實例之間可以通過多條加密隧道互相通信,多條加密隧道組成ECMP鏈路,實現流量的負載分擔。
企業可以在本地IDC和阿里云之間建立多條IPsec-VPN連接,實現本地IDC加密上云,然后通過云企業網產品將多條IPsec-VPN連接和VPC實例連接起來,多條IPsec-VPN連接加入云企業網后可以自動組成ECMP鏈路,實現本地IDC和VPC實例之間的相互通信以及流量的負載分擔。
網絡規劃
網絡功能規劃
在本文場景中使用的網絡功能如下:
通過互聯網在本地IDC和阿里云之間建立IPsec-VPN連接,即IPsec連接的網關類型為公網。
IPsec連接綁定的資源類型需為云企業網,以實現多條IPsec-VPN連接組成ECMP鏈路。
IPsec連接和本地IDC之間使用BGP動態路由協議。
網段規劃
在您規劃網段時,請確保本地IDC和VPC之間要互通的網段沒有重疊。
資源 | 網段及IP地址 |
VPC | 主網段:10.0.0.0/16
|
IPsec連接 | BGP配置:
|
本地網關設備 | 本地網關設備公網IP地址:
|
本地網關設備BGP配置:
| |
本地IDC | 待和VPC互通的網段:
|
準備工作
在開始配置前,請確保您已完成以下操作:
您已經在阿里云華東2(上海)地域創建了一個VPC實例,并使用ECS部署了相關業務。具體操作,請參見搭建IPv4專有網絡。
您已經創建了云企業網實例,并在華東1(杭州)和華東2(上海)地域分別創建了企業版轉發路由器。具體操作,請參見創建云企業網實例和創建轉發路由器實例。
重要創建轉發路由器實例時,需為轉發路由器實例配置轉發路由器地址段,否則IPsec連接無法成功綁定轉發路由器實例。
如果您已經創建了轉發路由器實例,您可以單獨為轉發路由器實例添加轉發路由器地址段。具體操作,請參見添加轉發路由器地址段。
您已經了解VPC中ECS實例所應用的安全組規則,并確保安全組規則允許本地IDC和ECS實例互相通信。具體操作,請參見查詢安全組規則和添加安全組規則。
配置流程
步驟一:創建用戶網關
在建立IPsec-VPN連接前,您需要先創建用戶網關,將本地網關設備的信息注冊至阿里云上。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
在頂部菜單欄,選擇用戶網關的地域。
VPN網關產品不支持建立跨境的IPsec-VPN連接,因此在您選擇用戶網關所屬的地域時,需遵循就近原則,即選擇離您本地IDC最近的阿里云地域。本文中選擇華東1(杭州)。
關于跨境連接和非跨境連接的更多信息,請參見非跨境連接。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息進行配置,然后單擊確定。
請根據以下配置在華東1(杭州)地域分別創建3個用戶網關,其余配置項保持默認狀態。更多信息,請參見創建和管理用戶網關。
配置項
配置項說明
用戶網關1
用戶網關2
用戶網關3
名稱
輸入用戶網關的名稱。
本文輸入Customer-Gateway1。
本文輸入Customer-Gateway2。
本文輸入Customer-Gateway3。
IP地址
輸入阿里云側待連接的本地網關設備的公網IP地址。
本文輸入本地網關設備1的公網IP地址11.XX.XX.1。
本文輸入本地網關設備2的公網IP地址11.XX.XX.2。
本文輸入本地網關設備3的公網IP地址11.XX.XX.3。
自治系統號
輸入本地網關設備使用的BGP AS號。
本文輸入65530。
步驟二:創建IPsec連接
創建用戶網關后,您需要在阿里云側創建IPsec連接,以便本地IDC和阿里云之間建立IPsec-VPN連接。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
在頂部菜單欄,選擇IPsec連接的地域。
IPsec連接所屬的地域需和用戶網關所屬的地域一致。本文選擇華東1(杭州)。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
請根據以下配置信息,在華東1(杭州)地域分別創建3個IPsec連接,其余配置項保持默認狀態。更多信息,請參見創建和管理IPsec連接(綁定轉發路由器)。
配置項
配置項說明
IPsec連接1
IPsec連接2
IPsec連接3
名稱
輸入IPsec連接的名稱。
本文輸入IPsec連接1。
本文輸入IPsec連接2。
本文輸入IPsec連接3。
綁定資源
選擇IPsec連接綁定的資源類型。
本文選擇云企業網。
網關類型
選擇IPsec連接的網絡類型。
本文選擇公網。
云企業網實例ID
選擇云企業網實例。
本文選擇在準備工作中已創建的云企業網實例。
轉發路由器
選擇IPsec連接待綁定的轉發路由器實例。
系統依據IPsec連接所在的地域自動選擇當前地域下的轉發路由器實例。
可用區
在轉發路由器支持的可用區中選擇部署IPsec連接的可用區。
本文選擇杭州可用區H。
路由模式
選擇路由模式。
本文選擇目的路由模式。
說明在使用BGP動態路由協議的情況下,推薦使用目的路由模式。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本文選擇是。
用戶網關
選擇IPsec連接關聯的用戶網關。
本文選擇Customer-Gateway1。
本文選擇Customer-Gateway2。
本文選擇Customer-Gateway3。
預共享密鑰
輸入IPsec連接的認證密鑰,用于本地網關設備和IPsec連接之間的身份認證。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改IPsec連接。
重要IPsec連接及其對端網關設備配置的預共享密鑰需一致,否則系統無法正常建立IPsec-VPN連接。
本文輸入fddsFF123****。
本文輸入fddsFF456****。
本文輸入fddsFF789****。
啟用BGP
選擇是否開啟BGP功能。BGP功能默認為關閉狀態。
本文開啟BGP功能。
本端自治系統號
輸入IPsec連接的自治系統號。
本文輸入65531。
本文輸入65531。
本文輸入65531。
加密配置
添加IKE配置、IPsec配置等加密配置。
除以下參數外,其余配置項保持默認值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據本地網關設備的支持情況選擇加密配置參數,確保IPsec連接和本地網關設備的加密配置保持一致。
BGP配置
隧道網段
輸入建立加密隧道時使用的網段。
隧道網段需要是在169.254.0.0/16內的子網掩碼為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
本文輸入169.254.10.0/30。
本文輸入169.254.11.0/30。
本文輸入169.254.12.0/30。
本端BGP地址
輸入IPsec連接的BGP IP地址。
該地址為隧道網段內的一個IP地址。
本文輸入169.254.10.1。
本文輸入169.254.11.1。
本文輸入169.254.12.1。
高級配置
選擇是否啟用高級配置,實現IPsec連接路由的自動分發和學習。系統默認啟用高級配置。
本文保持默認值,即開啟所有高級配置。
IPsec連接創建成功后,系統將自動為每個IPsec連接分配一個網關IP地址,用于IPsec連接和本地網關設備之間建立IPsec-VPN連接。您可以在IPsec連接詳情頁面查看網關IP地址,如下圖所示。
本文中,系統為IPsec連接1、IPsec連接2、IPsec連接3分配的網關IP地址如下表所示。
IPsec連接
網關IP地址
IPsec連接1
120.XX.XX.191
IPsec連接2
47.XX.XX.213
IPsec連接3
47.XX.XX.161
說明IPsec連接只有綁定轉發路由器實例后系統才會為其分配網關IP地址。如果在您創建IPsec連接時,IPsec連接的綁定資源類型為不綁定或者為VPN網關,則系統并不會為其分配網關IP地址。
返回到IPsec連接頁面,找到剛剛創建的IPsec連接,在操作列選擇生成對端配置。
請分別下載3個IPsec連接的配置并將配置保存在您的本地電腦,用于后續在本地網關設備中添加VPN配置。
步驟三:配置本地網關設備
創建IPsec連接后,請依據下載的IPsec連接配置以及下述步驟,分別在本地網關設備1、本地網關設備2、本地網關設備3中添加VPN配置和BGP配置,以便本地IDC和阿里云之間建立IPsec-VPN連接。
本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會有所差異,操作時請根據您的實際環境查詢對應文檔或咨詢相關廠商。更多本地網關設備配置示例,請參見本地網關設備配置示例。
以下內容包含的第三方產品信息僅供參考。阿里云對第三方產品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
配置本地網關設備。
本地網關設備1配置示例
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看接口配置。
請確保思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
#查看本地網關設備1的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 #連接公網的接口。 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 11.XX.XX.1 255.255.255.255 #GigabitEthernet0/0接口配置的公網IP地址。 ! interface GigabitEthernet0/1 #連接本地數據中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地數據中心接口(私網接口)的security-level低于公網接口。 ip address 192.168.50.216 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 !為公網接口開啟IKEv2功能。
#在本地網關設備1上添加如下配置 crypto ikev2 enable outside1 #為本地網關設備1的outside1接口(公網接口)開啟IKEv2功能。創建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側保持一致。
#在本地網關設備1上添加如下配置 crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。創建IPsec proposal和profile,指定思科防火墻側的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側保持一致。
#在本地網關設備1上添加如下配置 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec proposal。 protocol esp encryption aes #指定加密算法,協議使用ESP,阿里云側固定使用ESP協議。 protocol esp integrity sha-1 #指定認證算法,協議使用ESP,阿里云側固定使用ESP協議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec profile并應用已創建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關閉基于流量的SA生存周期。創建tunnel group,指定隧道的預共享密鑰,需和阿里云側保持一致。
#在本地網關設備1上添加如下配置 tunnel-group 120.XX.XX.191 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 120.XX.XX.191 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** #指定隧道對端的預共享密鑰,即阿里云側的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF123**** #指定隧道本端的預共享密鑰,需和阿里云側的保持一致。 !創建tunnel接口。
#在本地網關設備1上添加如下配置 interface Tunnel1 #創建隧道接口。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為公網接口GigabitEthernet0/0。 tunnel destination 120.XX.XX.191 #指定隧道目的地址為阿里云側IPsec連接1的公網IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !配置路由。
#在本地網關設備1上添加如下配置 route outside1 120.XX.XX.191 255.255.255.255 192.XX.XX.172 #配置訪問阿里云側IPsec連接1公網IP地址的路由,下一跳為外網地址。 route private 192.168.0.0 255.255.255.0 192.168.50.215 #配置去往本地數據中心的路由。 route private 192.168.1.0 255.255.255.0 192.168.50.215 route private 192.168.2.0 255.255.255.0 192.168.50.215 router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65531 #指定BGP鄰居,即阿里云側IPsec連接1的BGP IP地址。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate #激活BGP鄰居。 network 192.168.0.0 mask 255.255.255.0 #宣告本地數據中心的網段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
本地網關設備2配置示例
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看接口配置。
請確保思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
#查看本地網關設備2的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 #連接公網的接口。 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 11.XX.XX.2 255.255.255.255 #GigabitEthernet0/0接口配置的公網IP地址。 ! interface GigabitEthernet0/1 #連接本地數據中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地數據中心接口(私網接口)的security-level低于公網接口。 ip address 192.168.50.218 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 !為公網接口開啟IKEv2功能。
#在本地網關設備2上添加如下配置 crypto ikev2 enable outside1 #為本地網關設備2的outside1接口(公網接口)開啟IKEv2功能。創建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側保持一致。
#在本地網關設備2上添加如下配置 crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。創建IPsec proposal和profile,指定思科防火墻側的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側保持一致。
#在本地網關設備2上添加如下配置 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec proposal。 protocol esp encryption aes #指定加密算法,協議使用ESP,阿里云側固定使用ESP協議。 protocol esp integrity sha-1 #指定認證算法,協議使用ESP,阿里云側固定使用ESP協議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec profile并應用已創建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關閉基于流量的SA生存周期。創建tunnel group,指定隧道的預共享密鑰,需和阿里云側保持一致。
#在本地網關設備2上添加如下配置 tunnel-group 47.XX.XX.213 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF456**** #指定隧道對端的預共享密鑰,即阿里云側的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF456**** #指定隧道本端的預共享密鑰,需和阿里云側的保持一致。 !創建tunnel接口。
#在本地網關設備2上添加如下配置 interface Tunnel1 #創建隧道接口。 nameif ALIYUN1 ip address 169.254.11.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為公網接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.213 #指定隧道目的地址為阿里云側IPsec連接2的公網IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !配置路由。
#在本地網關設備2上添加如下配置 route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.173 #配置訪問阿里云側IPsec連接2公網IP地址的路由,下一跳為外網地址。 route private 192.168.0.0 255.255.255.0 192.168.50.217 #配置去往本地數據中心的路由。 route private 192.168.1.0 255.255.255.0 192.168.50.217 route private 192.168.2.0 255.255.255.0 192.168.50.217 router bgp 65530 address-family ipv4 unicast neighbor 169.254.11.1 remote-as 65531 #指定BGP鄰居,即阿里云側IPsec連接2的BGP IP地址。 neighbor 169.254.11.1 ebgp-multihop 255 neighbor 169.254.11.1 activate #激活BGP鄰居。 network 192.168.0.0 mask 255.255.255.0 #宣告本地數據中心的網段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
本地網關設備3配置示例
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看接口配置。
請確保思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
#查看本地網關設備3的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 #連接公網的接口。 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 11.XX.XX.3 255.255.255.255 #GigabitEthernet0/0接口配置的公網IP地址。 ! interface GigabitEthernet0/1 #連接本地數據中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地數據中心接口(私網接口)的security-level低于公網接口。 ip address 192.168.50.213 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 !為公網接口開啟IKEv2功能。
#在本地網關設備3上添加如下配置 crypto ikev2 enable outside1 #為本地網關設備3的outside1接口(公網接口)開啟IKEv2功能。創建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側保持一致。
#在本地網關設備3上添加如下配置 crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。創建IPsec proposal和profile,指定思科防火墻側的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側保持一致。
#在本地網關設備3上添加如下配置 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec proposal。 protocol esp encryption aes #指定加密算法,協議使用ESP,阿里云側固定使用ESP協議。 protocol esp integrity sha-1 #指定認證算法,協議使用ESP,阿里云側固定使用ESP協議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec profile并應用已創建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關閉基于流量的SA生存周期。創建tunnel group,指定隧道的預共享密鑰,需和阿里云側保持一致。
#在本地網關設備3上添加如下配置 tunnel-group 47.XX.XX.161 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 47.XX.XX.161 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF789**** #指定隧道對端的預共享密鑰,即阿里云側的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF789**** #指定隧道本端的預共享密鑰,需和阿里云側的保持一致。 !創建tunnel接口。
#在本地網關設備3上添加如下配置 interface Tunnel1 #創建隧道接口。 nameif ALIYUN1 ip address 169.254.12.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為公網接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.161 #指定隧道目的地址為阿里云側IPsec連接3的公網IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !配置路由。
#在本地網關設備3上添加如下配置 route outside1 47.XX.XX.161 255.255.255.255 192.XX.XX.174 #配置訪問阿里云側IPsec連接3公網IP地址的路由,下一跳為外網地址。 route private 192.168.0.0 255.255.255.0 192.168.50.214 #配置去往本地數據中心的路由。 route private 192.168.1.0 255.255.255.0 192.168.50.214 route private 192.168.2.0 255.255.255.0 192.168.50.214 router bgp 65530 address-family ipv4 unicast neighbor 169.254.12.1 remote-as 65531 #指定BGP鄰居,即阿里云側IPsec連接3的BGP IP地址。 neighbor 169.254.12.1 ebgp-multihop 255 neighbor 169.254.12.1 activate #激活BGP鄰居。 network 192.168.0.0 mask 255.255.255.0 #宣告本地數據中心的網段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
完成上述配置后,本地數據中心和阿里云之間可以成功建立IPsec-VPN連接,本地數據中心的路由將會通過BGP動態路由協議傳播至IPsec連接的BGP路由表中。
請根據您的實際網絡環境按需在本地數據中心添加路由配置,使本地數據中心客戶端去往VPC的流量可以同時通過本地網關設備1、本地網關設備2和本地網關設備3傳輸。具體命令,請咨詢相關設備廠商。
步驟四:創建VPC連接
創建IPsec連接后,IPsec連接會自動綁定至轉發路由器實例,您需要在云企業網管理控制臺創建VPC連接,將VPC實例也綁定至轉發路由器實例上,用于實現本地IDC和VPC之間的相互通信。
- 登錄云企業網管理控制臺。
- 在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在頁簽,找到華東2(上海)地域的轉發路由器實例,在操作列單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
請根據以下信息將華東2(上海)的VPC實例連接至轉發路由器,其余配置項保持默認狀態。更多信息,請參見創建VPC連接。
配置項
配置項說明
VPC連接
實例類型
選擇網絡實例類型。
本文選擇專有網絡(VPC)。
地域
選擇網絡實例所屬的地域。
本文選擇華東2(上海)。
轉發路由器
系統自動顯示當前地域已創建的轉發路由器實例ID。
資源歸屬UID
選擇網絡實例所屬的阿里云賬號和當前登錄的賬號是否為同一個賬號。
本文選擇同賬號。
付費方式
VPC連接的付費方式。默認值為按量付費。關于轉發路由器的計費規則,請參見計費說明。
連接名稱
輸入VPC連接的名稱。
本文輸入VPC連接。
網絡實例
選擇網絡實例。
本文選擇華東2(上海)的VPC實例。
交換機
在轉發路由器支持的可用區選擇交換機實例。
如果轉發路由器在當前地域僅支持一個可用區,則您需要在當前可用區選擇一個交換機實例。
如果轉發路由器在當前地域支持多個可用區,則您需要在至少2個可用區中各選擇一個交換機實例。在VPC和轉發路由器流量互通的過程中,這2個交換機實例可以實現可用區級別的容災。
推薦您在每個可用區中都選擇一個交換機實例,以減少流量繞行,體驗更低傳輸時延以及更高性能。
請確保選擇的每個交換機實例下擁有一個空閑的IP地址。如果VPC實例在轉發路由器支持的可用區中并沒有交換機實例或者交換機實例下沒有空閑的IP地址,您需要新建一個交換機實例。 具體操作,請參見創建和管理交換機。
本文在可用區F下選擇交換機1、在可用區G選擇交換機2。
高級配置
選擇是否開啟所有高級配置選項。系統默認選擇開啟所有高級配置選項。
保持默認配置,即開啟所有高級配置選項。
步驟五:創建跨地域連接
由于IPsec連接綁定的轉發路由器實例和VPC實例綁定的轉發路由器實例位于不同的地域,本地IDC和VPC實例之間默認無法通信。您需要在華東1(杭州)和華東2(上海)地域的轉發路由器實例之間創建跨地域連接,實現本地IDC和VPC實例之間的跨地域互通。
在云企業網實例頁面,找到目標云企業網實例,單擊云企業網實例ID。
在頁簽,單擊設置跨地域帶寬。
在連接網絡實例頁面,根據以下信息配置跨地域連接,然后單擊確定創建。
請根據以下信息創建跨地域連接,其余配置項保持默認狀態。更多信息,請參見創建跨地域連接。
配置項
說明
實例類型
選擇跨地域連接。
地域
選擇要互通的地域。
本文選擇華東1(杭州)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
連接名稱
輸入跨地域連接的名稱。
本文輸入跨地域連接。
對端地域
選擇要互通的對端地域。
本文選擇華東2(上海)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
帶寬分配方式
跨地域連接支持以下帶寬分配方式:
從帶寬包分配:從已經購買的帶寬包中分配帶寬。
按流量付費:按照跨地域連接實際使用的流量計費。
本文選擇按流量付費。
帶寬
輸入跨地域連接的帶寬值。單位:Mbps。
默認鏈路類型
使用默認鏈路類型。
高級配置
保持默認配置,即選中全部高級配置選項。
創建跨地域連接后,系統自動完成路由的分發和學習,IPsec連接會通過BGP動態路由協議將VPC實例的路由傳播至本地數據中心,同時也會將本地數據中心的路由傳播至轉發路由器中,實現本地IDC和VPC實例間的網絡互通。具體的路由信息,請參見文末路由說明。
步驟六:驗證測試
創建跨地域連接后,本地IDC和VPC實例間已可以通過3條IPsec-VPN連接實現流量的負載分擔。以下內容介紹如何測試網絡連通性以及如何驗證流量已通過3條IPsec-VPN連接實現負載分擔。
測試網絡連通性。
登錄VPC實例下的ECS實例。具體操作,請參見ECS遠程連接操作指南。
在ECS實例中執行ping命令,嘗試訪問本地IDC中的客戶端。
ping <本地IDC客戶端的IP地址>如果可以收到響應報文,則表示本地IDC和VPC實例之間的網絡已連通,可以實現資源互訪。
驗證流量的負載分擔。
在本地IDC的多個客戶端中持續向ECS實例發送訪問請求,如果您可以分別在IPsec連接1、IPsec連接2、IPsec連接3的詳情頁面查看到流量監控數據,則證明本地IDC和VPC實例之間的流量已通過3條IPsec-VPN連接實現流量的負載分擔。
登錄VPN網關管理控制臺。
在頂部狀態欄處,選擇IPsec連接所屬的地域。
在左側導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
進入IPsec連接詳情頁面在監控頁簽下查看流量監控數據。
路由說明
在本文中,創建IPsec連接、創建VPC連接、創建跨地域連接時均采用默認路由配置,默認路由配置下云企業網會自動完成路由的分發和學習以實現本地IDC和VPC實例之間的相互通信。默認路由配置說明如下:
IPsec連接
在創建IPsec連接時直接綁定轉發路由器實例,且啟用所有高級配置,系統會自動對IPsec連接進行以下路由配置:
IPsec連接默認被關聯至轉發路由器實例的默認路由表,轉發路由器實例將通過查詢默認路由表轉發來自IPsec連接的流量。
您為IPsec連接添加的目的路由或者IPsec連接通過BGP動態路由協議學習到的云下路由,均會被自動傳播至轉發路由器實例的默認路由表。
轉發路由器實例會將默認路由表下的其他路由條目自動傳播至IPsec連接的BGP路由表中。
IPsec連接會通過BGP動態路由協議將學習到的云上路由自動傳播至本地IDC中。
VPC實例
創建VPC連接時如果開啟所有高級配置,則系統會自動對VPC實例進行以下路由配置:
自動關聯至轉發路由器的默認路由表
開啟本功能后,VPC連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VPC實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動為VPC的所有路由表配置指向轉發路由器的路由
開啟本功能后,系統將在VPC實例的所有路由表內自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接。
重要如果VPC的路由表中已經存在目標網段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目,則系統無法再自動下發該路由條目,您需要在VPC路由表中手動添加指向VPC連接的路由條目以實現VPC和轉發路由器之間的流量互通。
您可以單擊發起路由檢查查看網絡實例內是否存在上述路由。
跨地域連接
創建跨地域連接時如果開啟所有高級配置,則系統會自動對跨地域連接進行以下路由配置:
自動關聯至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立關聯轉發關系,兩個地域的轉發路由器將會通過查詢默認路由表轉發跨地域間的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立路由學習關系。
自動發布路由到對端地域
開啟本功能后,即允許跨地域連接將本端轉發路由器路由表(指與跨地域連接建立關聯轉發關系的路由表)下的路由自動傳播至對端轉發路由器的路由表(指與跨地域連接建立路由學習關系的路由表)中,用于網絡實例跨地域互通。
路由條目展示
以下內容為您展示本文中轉發路由器實例、IPsec連接、VPC實例和本地網關設備的路由條目信息。您可以在阿里云控制臺查看對應實例的路由條目信息:
查看轉發路由器實例路由條目信息,請參見查看企業版轉發路由器路由條目。
查看VPC實例路由條目信息,請參見創建和管理路由表。
查看IPsec連接的路由條目信息,請進入IPsec連接詳情頁面:
登錄VPN網關管理控制臺。
在頂部狀態欄處,選擇IPsec連接所屬的地域。
在左側導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
進入IPsec連接詳情頁面在BGP路由表頁簽下查看IPsec連接的路由條目信息。
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | 跨地域連接 | 自動學習 |
10.0.1.0/24 | 跨地域連接 | 自動學習 |
192.168.0.0/24 | VPN連接1(IPsec連接1) | 自動學習 |
192.168.0.0/24 | VPN連接2(IPsec連接2) | 自動學習 |
192.168.0.0/24 | VPN連接3(IPsec連接3) | 自動學習 |
192.168.1.0/24 | VPN連接1(IPsec連接1) | 自動學習 |
192.168.1.0/24 | VPN連接2(IPsec連接2) | 自動學習 |
192.168.1.0/24 | VPN連接3(IPsec連接3) | 自動學習 |
192.168.2.0/24 | VPN連接1(IPsec連接1) | 自動學習 |
192.168.2.0/24 | VPN連接2(IPsec連接2) | 自動學習 |
192.168.2.0/24 | VPN連接3(IPsec連接3) | 自動學習 |
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | VPC連接 | 自動學習 |
10.0.1.0/24 | VPC連接 | 自動學習 |
192.168.0.0/24 | 跨地域連接 | 自動學習 |
192.168.0.0/24 | 跨地域連接 | 自動學習 |
192.168.0.0/24 | 跨地域連接 | 自動學習 |
192.168.1.0/24 | 跨地域連接 | 自動學習 |
192.168.1.0/24 | 跨地域連接 | 自動學習 |
192.168.1.0/24 | 跨地域連接 | 自動學習 |
192.168.2.0/24 | 跨地域連接 | 自動學習 |
192.168.2.0/24 | 跨地域連接 | 自動學習 |
192.168.2.0/24 | 跨地域連接 | 自動學習 |
目標網段 | 下一跳 | 路由類型 |
10.0.0.0/24 | 本地 | 系統 |
10.0.1.0/24 | 本地 | 系統 |
10.0.0.0/8 | VPC連接 | 自定義 |
172.16.0.0/12 | VPC連接 | 自定義 |
192.168.0.0/16 | VPC連接 | 自定義 |
目標網段 | 來源說明 |
IPsec連接1中BGP路由表的路由條目 | |
10.0.0.0/24 | 從阿里云側學習來的路由 |
10.0.1.0/24 | 從阿里云側學習來的路由 |
192.168.0.0/24 | 從本地IDC側學習來的路由 |
192.168.1.0/24 | 從本地IDC側學習來的路由 |
192.168.2.0/24 | 從本地IDC側學習來的路由 |
IPsec連接2中BGP路由表的路由條目 | |
10.0.0.0/24 | 從阿里云側學習來的路由 |
10.0.1.0/24 | 從阿里云側學習來的路由 |
192.168.0.0/24 | 從本地IDC側學習來的路由 |
192.168.1.0/24 | 從本地IDC側學習來的路由 |
192.168.2.0/24 | 從本地IDC側學習來的路由 |
IPsec連接3中BGP路由表的路由條目 | |
10.0.0.0/24 | 從阿里云側學習來的路由 |
10.0.1.0/24 | 從阿里云側學習來的路由 |
192.168.0.0/24 | 從本地IDC側學習來的路由 |
192.168.1.0/24 | 從本地IDC側學習來的路由 |
192.168.2.0/24 | 從本地IDC側學習來的路由 |
目標網段 | 下一跳 |
本地網關設備1學習到的云上路由條目 | |
10.0.0.0/24 | IPsec連接1 |
10.0.1.0/24 | IPsec連接1 |
本地網關設備2學習到的云上路由條目 | |
10.0.0.0/24 | IPsec連接2 |
10.0.1.0/24 | IPsec連接2 |
本地網關設備3學習到的云上路由條目 | |
10.0.0.0/24 | IPsec連接3 |
10.0.1.0/24 | IPsec連接3 |