本文介紹如何使用公網網絡類型的VPN網關在專有網絡VPC(Virtual Private Cloud)和本地數據中心之間建立IPsec-VPN連接(單隧道模式),并通過BGP動態路由協議自動學習路由實現VPC與本地數據中心間的資源互通,降低網絡維護成本和網絡配置風險。
環境要求
IPsec連接綁定公網網絡類型的VPN網關實例時,本地數據中心的網關設備必須配置公網IP地址。
本地數據中心的網關設備必須支持IKEv1或IKEv2協議,支持任意一種協議的設備均可以和轉發路由器建立IPsec-VPN連接。
本地數據中心的網段與待訪問的網段沒有重疊。
BGP動態路由支持的地域
區域 | 地域 |
亞太 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、中國香港、日本(東京)、新加坡、澳大利亞(悉尼)關停中、馬來西亞(吉隆坡)、印度尼西亞(雅加達) |
歐洲與美洲 | 德國(法蘭克福)、英國(倫敦)、美國(弗吉尼亞)、美國(硅谷) |
中東 | 阿聯酋(迪拜) |
場景示例
本文以下圖場景為例。某公司已在德國(法蘭克福)地域創建了一個VPC,私網網段為10.0.0.0/8,自治系統號ASN(Autonomous System Number)為65530。該公司在法蘭克福擁有本地數據中心,公網IP為2.XX.XX.2,私網網段為172.17.0.0/16,ASN為65531。因業務發展,需要云上VPC與本地數據中心互通。
您可以通過IPsec-VPN建立VPC到本地數據中心的VPN連接,并配置BGP動態路由。配置成功后,VPC和本地數據中心通過BGP動態路由協議自動學習路由實現資源互通,降低網絡維護成本和網絡配置風險。
在互聯網中,一個自治系統AS(Autonomous System)是一個有權自主決定在本系統中應采用何種路由協議的小型單位。這個網絡單位可以是一個簡單的網絡也可以是一個或多個普通的網絡管理員來控制的網絡群體,它是一個單獨的可管理的網絡單元。一個自治系統將會分配一個全局的唯一的號碼,這個號碼叫做自治系統號(ASN)。
準備工作
您已經在德國(法蘭克福)地域創建了VPC并部署了云服務。具體操作,請參見搭建IPv4專有網絡。
您已經了解VPC中的ECS實例所應用的安全組規則,并確保安全組規則允許本地數據中心的網關設備訪問云上資源。具體操作,請參見查詢安全組規則和添加安全組規則。
配置步驟
步驟一:創建VPN網關
- 登錄VPN網關管理控制臺。
在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息創建VPN網關,然后單擊立即購買并完成支付。
以下僅列舉本文強相關的配置,其余配置項保持默認值或為空。更多信息,請參見創建和管理VPN網關實例。
配置
說明
地域和可用區
選擇VPN網關的地域。
確保VPC的地域和VPN網關的地域相同。本示例選擇德國(法蘭克福)。
網關類型
選擇VPN網關實例的類型。
本示例選擇普通型。
網絡類型
選擇實例的網絡類型。本示例選擇公網。
隧道
系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。
單隧道
雙隧道
關于IPsec-VPN連接隧道模式的說明,請參見【升級公告】IPsec-VPN連接升級為雙隧道模式。
VPC
選擇要連接的VPC。本示例選擇德國(法蘭克福)地域創建的VPC。
虛擬交換機
從VPC實例中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
IPsec-VPN功能開啟后,系統會在兩個交換機實例下各創建一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。
說明系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機、交換機所屬可用區以及交換機下ENI的信息。
虛擬交換機2
IPsec-VPN連接的隧道模式為單隧道時,無需配置該項。
IPsec-VPN
選擇是否開啟IPsec-VPN功能。 本示例選擇開啟。
SSL-VPN
選擇是否開啟SSL-VPN功能。 本示例選擇關閉。
創建好的VPN網關的狀態是準備中,約1~5分鐘左右會變更為正常。正常狀態表明VPN網關已經完成了初始化,可以正常使用。VPN網關創建后,系統會為VPN網關自動分配一個公網IP地址用于建立VPN連接。
如果您沒有創建新的VPN網關,計劃使用存量的VPN網關實現本文場景,請確保您存量的VPN網關已升級至最新版本。如果您存量VPN網關不是最新版本,默認您無法使用BGP動態路由功能。
您可以在升級按鈕處查看VPN網關是否是最新版本,如果不是最新版本,您可以通過升級按鈕進行升級。具體操作,請參見升級VPN網關。
步驟二:開啟BGP
BGP用于在不同的自治系統(AS)之間交換路由信息。使用BGP動態路由功能前,您需要為VPN網關開啟BGP功能。
在左側導航欄,選擇 。
在頂部菜單欄,選擇VPN網關實例的地域。
在VPN網關頁面,找到已創建的VPN網關,在路由自動傳播列開啟路由自動傳播功能。
開啟后,VPN網關會將BGP路由條目自動傳播到VPC中。
步驟三:創建用戶網關
您可以通過創建用戶網關,將本地數據中心的公網IP地址和BGP AS號注冊到阿里云上。
在左側導航欄,選擇 。
在頂部菜單欄,選擇用戶網關的地域。
說明用戶網關的地域必須和VPN網關實例的地域相同。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息配置用戶網關,然后單擊確定。
以下僅列舉本文強相關配置項,其余配置保持默認值或為空。更多信息,請參見創建和管理用戶網關。
配置
說明
IP地址
輸入本地數據中心網關設備的公網IP地址。本示例輸入2.XX.XX.2。
自治系統號
輸入本地數據中心的自治系統號。本示例輸入65531。
步驟四:創建IPsec連接
在左側導航欄,選擇 。
在頂部菜單欄,選擇IPsec連接實例的地域。
說明IPsec連接實例的地域必須和VPN網關實例的地域相同。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息創建IPsec連接,然后單擊確定。
以下僅列舉本文強相關配置項,其余配置保持默認值或為空。更多信息,請參見創建和管理IPsec連接(單隧道模式)。
配置
說明
綁定資源
選擇IPsec連接綁定的資源類型。
本文選擇VPN網關。
VPN網關
選擇要連接的VPN網關。
選擇步驟一中創建的VPN網關。
路由模式
選擇路由模式。
IPsec連接支持目的路由模式和感興趣流模式。在IPsec連接使用BGP動態路由協議的情況下,推薦使用目的路由模式。本示例選擇目的路由模式。
立即生效
選擇是否立即生效。
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本示例選擇是。
用戶網關
選擇要連接的用戶網關。
選擇步驟三中創建的用戶網關。
預共享密鑰
輸入預共享密鑰。
請確保要建立的IPsec連接側和本地數據中心網關設備的預共享密鑰一致。本示例輸入123456****。
啟用BGP
如果IPsec連接需要使用BGP路由協議,需要打開BGP功能的開關,系統默認關閉BGP功能。
本示例開啟BGP功能。
本端自治系統號
輸入隧道本端的自治系統號。默認值:45104。
本示例輸入65530。
加密配置
除以下參數外,其余配置項保持默認值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據本地網關設備的支持情況選擇加密配置參數,確保IPsec連接和本地網關設備的加密配置保持一致。
BGP配置
隧道網段
輸入IPsec隧道的網段。本示例輸入169.254.10.0/30。
本端BGP地址
輸入本端BGP地址,該地址為隧道網段內的一個IP地址。本示例輸入169.254.10.1。
在創建成功對話框中,單擊取消。
步驟五:在本地網關設備中添加VPN配置
創建IPsec連接后,您還需要在本地網關設備中加載VPN配置,才能建立VPC到本地數據中心的VPN連接。
下載本地網關設備需要添加的VPN配置。具體操作,請參見下載IPsec連接配置。
在本地網關設備中添加VPN配置。具體操作,請參見思科防火墻配置示例。
請查閱文檔“單隧道配置示例”部分。
IPsec-VPN連接建立成功后,云上云下會自動通過BGP動態路由協議傳播路由:
您在本地網關設備中通過BGP宣告本地數據中心的網段后,云上VPN網關會將通過BGP學習到的本地數據中心的路由自動傳播到VPC的系統路由表中。您可以在VPC系統路由表的動態路由條目頁簽下查看路由條目信息。
云上VPN網關自動學習VPC系統路由表中的系統路由條目,并自動傳播給本地網關設備。
步驟六:測試連通性
登錄到VPC內一臺ECS實例。關于如何登錄ECS實例,請參見ECS遠程連接方式概述。
通過
ping
命令,訪問本地數據中心的客戶端,驗證通信是否正常。經驗證,VPC ECS實例可以正常訪問本地數據中心的客戶端。
登錄本地數據中心客戶端。
通過
ping
命令,訪問VPC下的ECS實例,驗證通信是否正常。經驗證,本地數據中心客戶端可以正常訪問VPC ECS實例。