注意事項

如果已經(jīng)將本地數(shù)據(jù)中心接入至阿里云VPC，您可以跳過本文的配置步驟，僅需執(zhí)行下述操作：

1. 將DTS服務器的IP地址加入至IPsec連接中，詳情請參見修改IPsec連接。
   注意 當單擊+添加 本端網(wǎng)段時，您填寫對應地域的DTS服務器的IP地址，詳情請參見遷移、同步或訂閱本地數(shù)據(jù)庫時需添加的IP白名單。
2. 在本地網(wǎng)關(guān)設(shè)備中配置IPsec-VPN與靜態(tài)路由。

費用說明

創(chuàng)建VPN網(wǎng)關(guān)時將產(chǎn)生費用，詳情請參見計費說明。

步驟一：創(chuàng)建VPN網(wǎng)關(guān)

1. 登錄專有網(wǎng)絡(luò)管理控制臺。
2. 在頁面左上角選擇地域。
3. 在左側(cè)導航欄，單擊VPN > VPN網(wǎng)關(guān)。
4. 在VPN網(wǎng)關(guān)頁面，單擊創(chuàng)建VPN網(wǎng)關(guān)。
5. 根據(jù)業(yè)務需求，配置VPN網(wǎng)關(guān)的規(guī)格信息。

   配置	說明
   地域和可用區(qū)	VPN網(wǎng)關(guān)的所屬地域。 注意 確保VPN網(wǎng)關(guān)的地域和VPC的地域相同。
   VPC	選擇需要接入的專有網(wǎng)絡(luò)。
   指定交換機	是否指定VPN網(wǎng)關(guān)創(chuàng)建在哪個虛擬交換機下，非必填。
   帶寬規(guī)格	選擇VPN網(wǎng)關(guān)的帶寬規(guī)格，帶寬規(guī)格是VPN網(wǎng)關(guān)所具備的公網(wǎng)帶寬。
   IPsec-VPN	選擇為開啟。 說明 IPsec-VPN功能提供站點到站點的連接。通過創(chuàng)建IPsec隧道可以將本地數(shù)據(jù)中心網(wǎng)絡(luò)和專有網(wǎng)絡(luò)或兩個專有網(wǎng)絡(luò)安全地連接。
   SSL-VPN	選擇為關(guān)閉。 說明 SSL-VPN提供點到站點的VPN連接，不需要配置客戶網(wǎng)關(guān)，終端直接接入。
   計費周期	選擇包年包月實例的時長，包月可選擇1~9個月，包年可選擇1~3年。
   到期自動續(xù)費	選擇是否自動續(xù)費。 按月購買：自動續(xù)費周期為1個月。 按年購買：則自動續(xù)費周期為1年。

6. 單擊立即購買，根據(jù)提示完成支付流程。

步驟二：創(chuàng)建用戶網(wǎng)關(guān)

1. 登錄專有網(wǎng)絡(luò)管理控制臺。
2. 在頁面左上角，選擇VPN網(wǎng)關(guān)所屬地域。
3. 在左側(cè)導航欄，單擊VPN > 用戶網(wǎng)關(guān)。
4. 單擊創(chuàng)建用戶網(wǎng)關(guān)。
5. 在彈出的對話框中，根據(jù)以下信息配置用戶網(wǎng)關(guān)。
   

   配置	說明
   名稱	填寫用戶網(wǎng)關(guān)名稱，建議配置具有業(yè)務意義的名稱以方便識別。 注意 以大寫字母、小寫字母或中文開頭，可包含數(shù)字、下劃線（_）或短劃線（-）。 長度為2~128個字符。
   IP地址	本地數(shù)據(jù)中心網(wǎng)關(guān)設(shè)備的靜態(tài)公網(wǎng)IP地址。
   描述	長度為2~256個字符，不能以http://或https://開頭。

6. 單擊確定。

步驟三：創(chuàng)建IPsec連接并發(fā)布路由

1. 登錄專有網(wǎng)絡(luò)管理控制臺。
2. 在頁面左上角，選擇VPN網(wǎng)關(guān)所屬地域。
3. 在左側(cè)導航欄，單擊VPN > IPsec連接。
4. 單擊創(chuàng)建IPsec連接。
5. 在彈出的創(chuàng)建IPsec連接對話框中，根據(jù)以下信息配置IPsec連接。
   

   配置	說明
   名稱	IPsec連接的名稱。 說明 長度為2~128個字符，以英文字母或中文開始，可包含數(shù)字，短劃線（-）和下劃線（_）。
   VPN網(wǎng)關(guān)	選擇待連接的VPN網(wǎng)關(guān)。本案例選擇在步驟一中創(chuàng)建的VPN網(wǎng)關(guān)。
   用戶網(wǎng)關(guān)	選擇待連接的用戶網(wǎng)關(guān)。本案例選擇在步驟二中創(chuàng)建的用戶網(wǎng)關(guān)。
   本端網(wǎng)段	填寫需要和本地數(shù)據(jù)中心互連的VPC側(cè)網(wǎng)段，用于第二階段協(xié)商。 注意 您可以根據(jù)業(yè)務需求，填寫整個VPC網(wǎng)段或VPC中某個交換機網(wǎng)段。例如本案例中填寫VPC中某個交換機網(wǎng)段：172.16.88.0/24。 填寫的本端網(wǎng)段不能和對端網(wǎng)段有重疊。
   +添加 本端網(wǎng)段	添加多個需要和本地數(shù)據(jù)中心互連的VPC側(cè)網(wǎng)段。本案例中，填寫DTS服務器的IP地址，詳情請參見遷移、同步或訂閱本地數(shù)據(jù)庫時需添加的IP白名單。 注意 添加多個本端網(wǎng)段時，需要將高級配置中的版本選擇為ikev2。
   對端網(wǎng)段	填寫需要和VPC互連的本地數(shù)據(jù)中心側(cè)的網(wǎng)段，用于第二階段協(xié)商。 注意 填寫的對端網(wǎng)段不能和本端網(wǎng)段有重疊。
   +添加 對端網(wǎng)段	添加多個需要和VPC互連的本地IDC側(cè)的網(wǎng)段。 注意 添加多個對端網(wǎng)段時，需要將高級配置中的版本選擇為ikev2。
   立即生效	選擇是否立即生效。 是：配置完成后立即進行協(xié)商。 否：當有流量進入時進行協(xié)商。
   高級配置	更多參數(shù)詳細的說明，請參見創(chuàng)建IPsec連接。
   健康檢查

6. 單擊確定。
7. 在彈出的創(chuàng)建成功對話框中，單擊確定，前往配置VPN網(wǎng)關(guān)的路由信息。
8. 在跳轉(zhuǎn)到的VPN網(wǎng)關(guān)頁面中，單擊目的路由表頁簽中的添加路由條目。
9. 在彈出的添加路由條目對話框中，根據(jù)以下信息配置路由信息。
   

   配置	說明
   目標網(wǎng)段	輸入本地數(shù)據(jù)中心的私網(wǎng)網(wǎng)段。本案例中，填寫192.168.10.0/24。
   下一跳類型	選擇IPsec連接。
   下一跳	選擇剛創(chuàng)建的IPsec連接實例。
   發(fā)布到VPC	選擇是否將新添加的路由發(fā)布到VPC路由表。 是（推薦）：將新添加的路由發(fā)布到VPC路由表。 否：不發(fā)布新添加的路由到VPC路由表。 注意 如果您選擇否，添加目的路由后，您還需在目的路由表中發(fā)布路由。
   權(quán)重	選擇權(quán)重值： 100：優(yōu)先級高。 0：優(yōu)先級低。 注意 目的網(wǎng)段相同的目的路由，不支持同時設(shè)置權(quán)重值為100。

步驟四：在本地網(wǎng)關(guān)設(shè)備中配置IPsec-VPN與靜態(tài)路由

1. 登錄專有網(wǎng)絡(luò)管理控制臺。
2. 在頁面左上角，選擇VPN網(wǎng)關(guān)所屬地域。
3. 在左側(cè)導航欄，單擊VPN > IPsec連接。
4. 找到目標IPsec連接，單擊對應操作列中的更多操作 > 下載對端配置。
   
5. 在彈出的IPsec連接配置對話框中，詳細展示了對端配置信息。
   
6. 根據(jù)本地網(wǎng)關(guān)設(shè)備的配置要求，將對端配置添加到本地網(wǎng)關(guān)設(shè)備中。相關(guān)配置案例請參見本地網(wǎng)關(guān)配置。
7. 在本地網(wǎng)關(guān)設(shè)備中，添加靜態(tài)路由：目的地址為DTS服務器的IP地址，詳情請參見遷移、同步或訂閱本地數(shù)據(jù)庫時需添加的IP白名單，下一跳為新增的IPsec-VPN隧道接口。

相關(guān)文檔

如果IPsec鏈接失敗或網(wǎng)絡(luò)不通，排查方法請參見IPsec常見問題。