本文介紹如何使用公網網絡類型的VPN網關在專有網絡VPC(Virtual Private Cloud)和本地數據中心之間建立IPsec-VPN連接(單隧道模式),實現本地數據中心與VPC之間的加密通信。
環境要求
IPsec連接綁定公網網絡類型的VPN網關實例時,本地數據中心的網關設備必須配置公網IP地址。
本地數據中心的網關設備必須支持IKEv1或IKEv2協議,支持任意一種協議的設備均可以和轉發路由器建立IPsec-VPN連接。
本地數據中心的網段與待訪問的網段沒有重疊。
場景示例
本文以下圖場景示例。某公司在阿里云創建了VPC,網段為192.168.0.0/16。本地數據中心的網段為172.16.0.0/12,本地網關設備的公網IP為211.XX.XX.68。公司因業務發展,需要本地數據中心與云上VPC互通。您可以通過IPsec-VPN,建立本地數據中心與云上VPC的連接,實現云上和云下的加密通信。
準備工作
您已經在阿里云創建了VPC,VPC中使用云服務器ECS(Elastic Compute Service)部署了相關業務。具體操作,請參見搭建IPv4專有網絡。
您已經了解VPC中的ECS實例所應用的安全組規則,并確保安全組規則允許本地數據中心的網關設備訪問云上資源。具體操作,請參見查詢安全組規則和添加安全組規則。
步驟一:創建VPN網關
- 登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關的地域。
VPN網關的地域需和待關聯的VPC實例的地域相同。
在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息配置VPN網關,然后單擊立即購買并完成支付。
配置項
說明
實例名稱
輸入VPN網關實例的名稱。
本文輸入VPN網關1。
資源組
選擇VPN網關實例所屬的資源組。如果不選擇,VPN網關實例創建后將歸屬于默認資源組。
本文保持為空。
地域和可用區
選擇VPN網關實例所屬的地域。
說明請確保VPN網關實例的地域和VPC實例的地域相同。
網關類型
選擇VPN網關實例的類型。
本文選擇普通型。
網絡類型
選擇VPN網關實例的網絡類型。
本文選擇公網。
隧道
系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。
單隧道
雙隧道
關于IPsec-VPN連接隧道模式的說明,請參見【升級公告】IPsec-VPN連接升級為雙隧道模式。
VPC
選擇VPN網關實例關聯的VPC實例。
虛擬交換機
從VPC實例中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
說明系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機以及交換機所屬可用區的信息。
虛擬交換機2
IPsec-VPN連接的隧道模式為單隧道時,無需配置該項。
帶寬規格
選擇VPN網關實例的公網帶寬峰值。單位:Mbps。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。
本文選擇開啟。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。
本文選擇關閉。
計費周期
選擇購買時長。
您可以選擇是否自動續費:
按月購買:自動續費周期為1個月。
按年購買:自動續費周期為1年。
服務關聯角色
單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他云產品中的資源,更多信息,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已創建,則表示您的賬號下已創建了該角色,無需重復創建。
更多參數信息,請參見創建VPN網關實例。
返回VPN網關頁面,查看創建的VPN網關。
剛創建好的VPN網關的狀態是準備中,約1~5分鐘左右會變成正常狀態。正常狀態表明VPN網關已經完成了初始化,可以正常使用。
步驟二:創建用戶網關
在左側導航欄,選擇。
在頂部菜單欄,選擇用戶網關的地域。
說明用戶網關的地域必須和要連接的VPN網關的地域相同。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息配置用戶網關,然后單擊確定。
以下僅列舉本文強相關配置項,其余配置保持默認值或為空。更多信息,請參見創建和管理用戶網關。
名稱:輸入用戶網關的名稱。
本文輸入用戶網關1。
IP地址:輸入VPC要連接的本地數據中心的網關設備的公網IP。
本文輸入211.XX.XX.68。
步驟三:創建IPsec連接
在左側導航欄,選擇。
在頂部菜單欄,選擇IPsec連接的地域。
說明IPsec連接的地域必須和要連接的VPN網關的地域相同。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
配置項
配置項說明
名稱
輸入IPsec連接的名稱。
本文輸入IPsec連接1。
資源組
選擇VPN網關實例所屬的資源組。
本文選擇默認資源組。
綁定資源
選擇IPsec連接綁定的資源類型。
本文選擇VPN網關。
VPN網關
選擇已創建的VPN網關實例。
本文選擇VPN網關1。
路由模式
選擇路由模式。
本文選擇目的路由模式。
立即生效
選擇是否立即生效。
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本文選擇是。
用戶網關
選擇已創建的用戶網關實例。
本文選擇用戶網關1。
啟用BGP
如果IPsec連接需要使用BGP路由協議,需要打開BGP功能的開關,系統默認關閉BGP功能。
本文不開啟BGP功能。
預共享密鑰
輸入預共享密鑰。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改IPsec連接。
重要IPsec連接及其對端網關設備配置的預共享密鑰需一致,否則系統無法正常建立IPsec-VPN連接。
加密配置
本文使用IKEv1版本,其他選項使用默認配置。更多信息,請參見創建和管理IPsec連接(單隧道模式)。
健康檢查
本文保持默認值,不為IPsec連接配置健康檢查。
標簽
為IPsec連接添加標簽。
本文保持為空。
在創建成功對話框中,單擊確定。
步驟四:在本地網關設備中加載VPN配置
在左側導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接實例,然后在操作列單擊生成對端配置。
根據本地網關設備的配置要求,將下載的配置添加到本地網關設備中。具體操作,請參見本地網關配置。
步驟五:配置VPN網關路由
在左側導航欄,選擇。
在VPN網關頁面,找到目標VPN網關實例,單擊實例ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下信息配置目的路由,然后單擊確定。
配置項
配置說明
目標網段
輸入待互通的目標網段。
本文輸入172.16.0.0/12。
下一跳類型
選擇下一跳的類型。
本文選擇IPsec連接。
下一跳
選擇IPsec連接。
發布到VPC
選擇是否將新添加的路由條目發布到VPN網關關聯的VPC路由表。
本文選擇是。
權重
選擇路由條目的權重值。
100:高優先級。
0:低優先級。
本文保持默認值100。
步驟六:測試連通性
登錄到VPC內一臺無公網IP的ECS實例。關于如何登錄ECS實例,請參見連接方式概述。
執行ping命令,訪問本地數據中心內的一臺服務器,驗證通信是否正常。
如果能夠收到回復報文,則證明通信正常。