本文為您介紹如何組合使用IPsec-VPN連接(其中IPsec連接綁定轉發路由器)和物理專線,實現本地數據中心IDC(Internet Data Center)通過主備鏈路上云并和云上專有網絡VPC(Virtual Private Cloud)互通。
場景示例
本文以下圖場景為例,為您介紹IPsec-VPN連接(其中IPsec連接綁定轉發路由器)聯合物理專線實現主備鏈路上云方案。某企業在上海擁有一個本地IDC,且企業已經在阿里云華東1(杭州)地域部署了業務VPC,VPC中通過云服務器ECS(Elastic Compute Service)等云產品部署了應用業務和數據分析服務,用于后續業務交互和數據分析。企業現在需要部署上云的主備鏈路,以實現云下IDC和云上VPC的高可靠連接。
網絡規劃
網絡功能規劃
在本文場景中使用的網絡功能如下:
本地IDC同時通過物理專線和IPsec-VPN連接接入阿里云。
在物理專線和IPsec-VPN連接都正常的情況下,本地IDC與VPC之間的所有流量優先通過物理專線進行傳輸;當物理專線異常時,本地IDC與VPC之間的所有流量可以自動切換至IPsec-VPN連接進行傳輸。
建立IPsec-VPN連接時,IPsec連接的網關類型為公網,IPsec連接綁定的資源類型為云企業網。
本地IDC、邊界路由器VBR(Virtual border router)實例和IPsec連接均使用BGP動態路由協議,實現路由的自動分發和學習,簡化路由配置。
目前僅部分地域的IPsec連接支持BGP動態路由協議。關于地域的詳細信息, 請參見【支持BGP】VPN網關支持BGP動態路由公告。
重要本場景流量傳輸說明如下:
在物理專線、IPsec-VPN連接、BGP動態路由協議均正常運行的情況下,云企業網可以通過物理專線和IPsec-VPN連接同時學習到本地IDC的網段,本地IDC也可以通過物理專線和IPsec-VPN連接同時學習到云企業網傳播的VPC實例的路由。云企業網默認通過物理專線學習到的路由的優先級高于通過IPsec-VPN連接學習到的路由,因此VPC實例和本地IDC之間的流量優先通過物理專線傳輸。
當本地IDC和VBR實例之間的BGP鄰居中斷時,云企業網會自動撤銷通過物理專線學習到的路由,通過IPsec-VPN連接學習到的路由會自動生效,VPC實例和本地IDC之間的流量將會自動通過IPsec-VPN連接進行傳輸;當本地IDC和VBR實例之間的BGP鄰居恢復正常后,VPC實例和本地IDC之間的流量會重新通過物理專線進行傳輸,IPsec-VPN連接會重新成為備用鏈路。
網段規劃
在您規劃網段時,請確保本地IDC和VPC之間要互通的網段沒有重疊。
資源 | 網段及IP地址 |
VPC | 主網段:172.16.0.0/16
|
IPsec連接 | BGP配置:隧道網段為169.254.10.0/30,本端BGP地址為169.254.10.1,本端自治系統號使用默認值45104 |
VBR | VBR的配置:
|
本地網關設備 | 本地網關設備的公網IP地址:211.XX.XX.68 |
本地網關設備BGP配置:隧道網段為169.254.10.0/30,本端BGP地址為169.254.10.2,本端自治系統號為65530 | |
本地IDC | 待和VPC互通的網段:
|
準備工作
在開始配置前,請確保您已完成以下操作:
您已經在阿里云華東1(杭州)地域創建了一個VPC實例,并使用ECS部署了相關業務。具體操作,請參見搭建IPv4專有網絡。
您已經創建了云企業網實例,并在華東1(杭州)和華東2(上海)地域分別創建了企業版轉發路由器。具體操作,請參見創建云企業網實例和創建轉發路由器實例。
重要創建轉發路由器實例時,需為轉發路由器實例配置轉發路由器地址段,否則IPsec連接無法成功綁定轉發路由器實例。
如果您已經創建了轉發路由器實例,您可以單獨為轉發路由器實例添加轉發路由器地址段。具體操作,請參見添加轉發路由器地址段。
配置流程
步驟一:部署物理專線
您需要部署物理專線將本地IDC連接至阿里云。
創建獨享物理專線。
本文使用獨享專線方式在華東2(上海)地域自主創建1條物理專線連接,命名為物理專線。具體操作,請參見創建和管理獨享專線連接。
創建VBR實例。
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態欄,選擇待創建VBR實例的地域。
本文選擇華東2(上海)地域。
在邊界路由器(VBR)頁面,單擊創建邊界路由器。
在創建邊界路由器面板,根據以下信息進行配置,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態。如果您需要了解更多信息,請參見創建和管理邊界路由器。
配置項
說明
VBR
賬號類型
選擇VBR實例的賬號類型。
本文選擇當前賬號。
名稱
輸入VBR實例的名稱。
本文輸入VBR。
物理專線接口
選擇VBR實例需要綁定的物理專線接口。
VLAN ID
輸入VBR實例的VLAN ID。
說明請確保VBR實例的VLAN ID與本地網關設備接口(物理專線連接的接口)劃分的VLAN ID一致。
本文輸入201。
設置VBR帶寬值
選擇VBR實例的帶寬峰值。
請依據您的實際需求選擇適合的帶寬峰值。
阿里云側IPv4互聯IP
輸入VPC通往本地IDC的路由網關IPv4地址。
本文輸入10.0.0.2。
客戶側IPv4互聯IP
輸入本地IDC通往VPC的路由網關IPv4地址。
本文輸入10.0.0.1。
IPv4子網掩碼
輸入阿里云側和客戶側IPv4地址的子網掩碼。
本文輸入255.255.255.252。
為VBR實例配置BGP組。
在邊界路由器(VBR)頁面,單擊目標VBR實例ID。
在邊界路由器實例詳情頁面,單擊BGP組頁簽。
在BGP組頁簽下,單擊創建BGP組,并根據以下信息進行BGP組配置,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態。如果您想要了解更多信息,請參見創建BGP組。
配置項
說明
VBR
名稱
輸入BGP組的名稱。
本文輸入VBR-BGP。
Peer AS號
輸入本地網關設備的自治系統號。
本文輸入本地網關設備的自治系統號65530。
本端AS號
輸入VBR實例的自治系統號。
本文輸入VBR的自治系統號45104。
為VBR實例配置BGP鄰居。
在邊界路由器實例詳情頁面,單擊BGP鄰居頁簽。
在BGP鄰居頁簽下,單擊創建BGP鄰居。
在創建BGP鄰居面板,配置BGP鄰居信息,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態。如果您想要了解更多信息,請參見創建BGP鄰居。
配置項
說明
VBR
BGP組
選擇要加入的BGP組。
本文選擇VBR-BGP。
BGP鄰居IP
輸入BGP鄰居的IP地址。
本文輸入本地網關設備連接物理專線的接口的IP地址10.0.0.1。
為本地網關設備配置BGP路由協議。
為本地網關設備配置BGP路由協議后,本地網關設備和VBR實例之間可以建立BGP鄰居關系,實現路由的自動學習和傳播。
說明本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會有所差異,操作時請根據您的實際環境查詢對應文檔或咨詢相關廠商。更多本地網關設備配置示例,請參見本地網關設備配置示例。
以下內容包含的第三方產品信息僅供參考。阿里云對第三方產品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
interface GigabitEthernet0/3 nameif VBR1 #配置連接VBR1的接口名稱。 security-level 0 ip address 10.0.0.1 255.255.255.0 #GigabitEthernet0/3接口配置的私網IP地址。 no shutdown #開啟接口。 ! router bgp 65530 #開啟BGP路由協議,并配置本地IDC的自治系統號。本文為65530。 bgp router-id 10.0.0.1 #BGP路由器ID,本文設置為10.0.0.1。 bgp log-neighbor-changes address-family ipv4 unicast neighbor 10.0.0.2 remote-as 45104 #和VBR實例建立BGP鄰居關系。 network 192.168.0.0 mask 255.255.255.0 #宣告本地IDC的網段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 10.0.0.2 activate #激活BGP鄰居。 neighbor 10.0.0.2 weight 1000 #指定通過物理專線學習到的路由的權重值為1000。 exit-address-family !
步驟二:配置云企業網
部署物理專線后,本地IDC可以通過物理專線接入阿里云,但本地IDC和VPC之間還無法通信,您需要將VBR實例和VPC實例連接至云企業網,通過云企業網實現本地IDC和VPC之間的相互通信。
創建VPC連接。
登錄云企業網管理控制臺。
在云企業網實例頁面,找到在準備工作中創建的云企業網實例,單擊云企業網實例ID。
在頁簽,找到華東1(杭州)地域的轉發路由器實例,在操作列單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態。如果您想要了解更多信息,請參見創建VPC連接。
配置項
配置項說明
VPC連接
實例類型
選擇網絡實例類型。
本文選擇專有網絡(VPC)。
地域
選擇網絡實例所屬的地域。
本文選擇華東1(杭州)。
轉發路由器
系統自動顯示當前地域已創建的轉發路由器實例ID。
資源歸屬UID
選擇網絡實例所屬的阿里云賬號和當前登錄的賬號是否為同一個賬號。
本文選擇同賬號。
付費方式
VPC連接的付費方式。默認值為按量付費。關于轉發路由器的計費規則,請參見計費說明。
連接名稱
輸入VPC連接的名稱。
本文輸入VPC-Attachment。
網絡實例
選擇網絡實例。
本文選擇已創建的VPC實例。
交換機
在轉發路由器支持的可用區選擇交換機實例。
如果轉發路由器在當前地域僅支持一個可用區,則您需要在當前可用區選擇一個交換機實例。
如果轉發路由器在當前地域支持多個可用區,則您需要在至少2個可用區中各選擇一個交換機實例。在VPC和轉發路由器流量互通的過程中,這2個交換機實例可以實現可用區級別的容災。
推薦您在每個可用區中都選擇一個交換機實例,以減少流量繞行,體驗更低傳輸時延以及更高性能。
請確保選擇的每個交換機實例下擁有一個空閑的IP地址。如果VPC實例在轉發路由器支持的可用區中并沒有交換機實例或者交換機實例下沒有空閑的IP地址,您需要新建一個交換機實例。 具體操作,請參見創建和管理交換機。
本文在可用區H下選擇交換機1、在可用區I選擇交換機2。
高級配置
選擇是否開啟所有高級配置選項。系統默認選擇開啟所有高級配置選項。
保持默認配置,即開啟所有高級配置選項。
創建VBR連接。
返回頁簽,找到華東2(上海)地域的轉發路由器實例,在操作列單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態。如果您想要了解更多信息,請參見使用企業版轉發路由器創建VBR連接。
配置項
配置項說明
VBR
實例類型
選擇網絡實例類型。
本文選擇邊界路由器(VBR)。
地域
選擇網絡實例所屬的地域。
本文選擇華東2(上海)。
轉發路由器
系統自動顯示當前地域已創建的轉發路由器實例。
資源歸屬UID
選擇網絡實例所屬的阿里云賬號和當前登錄的賬號是否為同一個賬號。
本文選擇同賬號。
連接名稱
輸入網絡實例連接的名稱。
本文輸入VBR-Attachment。
網絡實例
選擇網絡實例。
本文選擇VBR。
高級配置
選擇是否開啟所有高級配置選項。系統默認選擇開啟所有高級配置選項。
保持默認配置,即開啟所有高級配置選項。
創建跨地域連接。
由于VBR實例綁定的轉發路由器實例和VPC實例綁定的轉發路由器實例位于不同的地域,VBR實例和VPC實例之間默認無法通信。您需要在華東1(杭州)和華東2(上海)地域的轉發路由器實例之間創建跨地域連接,實現VBR實例和VPC實例之間的跨地域互通。
在云企業網實例頁面,找到目標云企業網實例,單擊云企業網實例ID。
在頁簽,單擊設置跨地域帶寬。
在連接網絡實例頁面,根據以下信息配置跨地域連接,然后單擊確定創建。
請根據以下信息創建跨地域連接,其余配置項保持默認狀態。更多信息,請參見創建跨地域連接。
配置項
說明
實例類型
選擇跨地域連接。
地域
選擇要互通的地域。
本文選擇華東1(杭州)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
連接名稱
輸入跨地域連接的名稱。
本文輸入跨地域連接。
對端地域
選擇要互通的對端地域。
本文選擇華東2(上海)。
轉發路由器
系統自動顯示當前地域下轉發路由器的實例ID。
帶寬分配方式
跨地域連接支持以下帶寬分配方式:
從帶寬包分配:從已經購買的帶寬包中分配帶寬。
按流量付費:按照跨地域連接實際使用的流量計費。
本文選擇按流量付費。
帶寬
輸入跨地域連接的帶寬值。單位:Mbps。
默認鏈路類型
使用默認鏈路類型。
高級配置
保持默認配置,即選中全部高級配置選項。
步驟三:部署IPsec-VPN連接
完成上述步驟后,本地IDC和VPC之間可以通過物理專線實現互通。您可以開始部署IPsec-VPN連接。
登錄VPN網關管理控制臺。
創建用戶網關。
在建立IPsec-VPN連接前,您需要先創建用戶網關,將本地網關設備的信息注冊至阿里云上。
在左側導航欄,選擇。
在頂部菜單欄,選擇用戶網關的地域。
VPN網關產品不支持建立跨境的IPsec-VPN連接,因此在您選擇用戶網關所屬的地域時,需遵循就近原則,即選擇離您本地IDC最近的阿里云地域。本文中選擇華東2(上海)。
關于跨境連接和非跨境連接的更多信息,請參見非跨境連接。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息進行配置,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態。如果您想要了解更多信息,請參見創建和管理用戶網關。
配置項
配置項說明
用戶網關
名稱
輸入用戶網關的名稱。
本文輸入Customer-Gateway。
IP地址
輸入阿里云側待連接的本地網關設備的公網IP地址。
本文輸入本地網關設備的公網IP地址211.XX.XX.68。
自治系統號
輸入本地網關設備使用的BGP AS號。
本文輸入65530。
創建IPsec連接。
創建用戶網關后,您需要在阿里云側創建IPsec連接,阿里云側將通過IPsec連接與本地IDC之間建立IPsec-VPN連接。
在左側導航欄,選擇。
在頂部菜單欄,選擇IPsec連接的地域。
IPsec連接的地域需和用戶網關的地域一致。本文選擇華東2(上海)。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
創建IPsec連接會產生計費,關于IPsec連接的計費說明,請參見計費說明。
配置項
配置項說明
IPsec連接
名稱
輸入IPsec連接的名稱。
本文輸入IPsec連接。
綁定資源
選擇IPsec連接綁定的資源類型。
本文選擇云企業網。
網關類型
選擇IPsec連接的網絡類型。
本文選擇公網。
CEN實例ID
選擇云企業網實例。
本文選擇在準備工作中已創建的云企業網實例。
轉發路由器
選擇IPsec連接待綁定的轉發路由器實例。
系統根據IPsec連接所在的地域自動選擇當前地域下的轉發路由器實例。
可用區
在轉發路由器支持的可用區中選擇部署IPsec連接的可用區。
本文選擇上海 可用區F。
路由模式
選擇路由模式。
本文選擇目的路由模式。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本文選擇是。
用戶網關
選擇IPsec連接關聯的用戶網關。
本文選擇Customer-Gateway。
預共享密鑰
輸入IPsec連接的認證密鑰,用于本地網關設備和IPsec連接之間的身份認證。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改IPsec連接。
重要IPsec連接及其對端網關設備配置的預共享密鑰需一致,否則系統無法正常建立IPsec-VPN連接。
本文輸入fddsFF123****。
啟用BGP
選擇是否開啟BGP功能。BGP功能默認為關閉狀態。
本文開啟BGP功能。
本端自治系統號
輸入IPsec連接的自治系統號。
本文輸入45104。
加密配置
添加IKE配置、IPsec配置等加密配置。
除以下參數外,其余配置項保持默認值。更多信息,請參見創建和管理IPsec連接(綁定轉發路由器)。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據本地網關設備的支持情況選擇加密配置參數,確保IPsec連接和本地網關設備的加密配置保持一致。
BGP配置
隧道網段
輸入建立加密隧道時使用的網段。
隧道網段需要是在169.254.0.0/16內的子網掩碼為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
本文輸入169.254.10.0/30。
本端BGP地址
輸入IPsec連接的BGP IP地址。
該地址為隧道網段內的一個IP地址。
本文輸入169.254.10.1。
高級配置
選擇是否啟用高級配置,實現IPsec連接路由的自動分發和學習。系統默認啟用高級配置。
本文保持默認值,即開啟所有高級配置。
IPsec連接創建成功后,系統將自動為IPsec連接分配一個公網IP地址,用于IPsec連接和本地IDC之間建立IPsec-VPN連接。您可以在IPsec連接詳情頁面查看網關IP地址,如下圖所示。
說明IPsec連接只有綁定轉發路由器實例后系統才會為其分配網關IP地址。如果在您創建IPsec連接時,IPsec連接的綁定資源類型為不綁定或者為VPN網關,則系統并不會為其分配網關IP地址。
下載IPsec連接對端的配置。
返回到IPsec連接頁面,找到剛剛創建的IPsec連接,在操作列單擊生成對端配置。
在本地網關設備中添加VPN配置和BGP配置。
創建IPsec連接后,請根據已下載的IPsec連接對端配置信息以及下述步驟,在本地網關設備中添加VPN配置和BGP配置,以便本地IDC和阿里云之間建立IPsec-VPN連接。
說明本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會有所差異,操作時請根據您的實際環境查詢對應文檔或咨詢相關廠商。更多本地網關設備配置示例,請參見本地網關設備配置示例。
以下內容包含的第三方產品信息僅供參考。阿里云對第三方產品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看接口配置和路由配置。
思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 211.XX.XX.68 255.255.255.255 #GigabitEthernet0/0接口配置的公網IP地址。 ! interface GigabitEthernet0/2 #連接本地數據中心的接口。 nameif private #GigabitEthernet0/2接口名稱。 security-level 100 #指定連接本地數據中心接口的security-level低于連接公網的接口。 ip address 192.168.2.215 255.255.255.0 #GigabitEthernet0/2接口配置的私網IP地址。 ! route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.172 #配置訪問阿里云側IPsec連接公網IP地址的路由,下一跳為公網地址。 route private 192.168.0.0 255.255.0.0 192.168.2.216 #配置去往本地數據中心的路由。為連接公網的接口開啟IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2創建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側保持一致。
重要阿里云側配置IPsec連接時,IKE配置階段的加密算法、認證算法和DH分組均只支持指定一個值,不支持指定多個值。建議在思科防火墻中IKE配置階段的加密算法、認證算法和DH分組也均只指定一個值,該值需與阿里云側保持一致。
crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。創建IPsec proposal和profile,指定思科防火墻側的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側保持一致。
重要阿里云側配置IPsec連接時,IPsec配置階段的加密算法、認證算法和DH分組均只支持指定一個值,不支持指定多個值。建議在思科防火墻中IPsec配置階段的加密算法、認證算法和DH分組也均只指定一個值,該值需與阿里云側保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec proposal。 protocol esp encryption aes #指定加密算法,協議使用ESP,阿里云側固定使用ESP協議。 protocol esp integrity sha-1 #指定認證算法,協議使用ESP,阿里云側固定使用ESP協議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創建ipsec profile并應用已創建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關閉基于流量的SA生存周期。創建tunnel group,指定隧道的預共享密鑰,需和阿里云側保持一致。
tunnel-group 47.XX.XX.213 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** #指定隧道對端的預共享密鑰,即阿里云側的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF123**** #指定隧道本端的預共享密鑰,需和阿里云側的保持一致。 !創建tunnel接口。
interface Tunnel1 #創建隧道接口。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為外網接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.213 #指定隧道目的地址為阿里云側IPsec連接的公網IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !添加BGP配置,使本地網關設備與IPsec連接建立BGP鄰居關系。
router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 45104 #指定BGP鄰居,即阿里云側隧道的IP地址。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate #激活BGP鄰居。 neighbor 169.254.10.1 weight 500 #指定通過IPsec-VPN學習到的路由的權重值為500,這些路由的權重值小于通過物理專線學習到的路由的權重值,確保本地IDC去往VPC的流量優先通過物理專線傳輸。 exit-address-family
步驟四:驗證測試
完成上述步驟,本地IDC可通過物理專線或IPsec-VPN連接與VPC互通。在物理專線和IPsec-VPN連接都正常的情況下,本地IDC與VPC之間的所有流量默認只通過物理專線進行轉發;當物理專線異常時,本地IDC與VPC之間的所有流量將自動切換至IPsec-VPN連接進行轉發。以下內容介紹如何測試網絡連通性以及如何驗證物理專線和IPsec-VPN連接已實現主備鏈路冗余。
網絡連通性測試。
登錄VPC實例下的ECS實例。具體操作,請參見ECS遠程連接操作指南。
在ECS實例中執行ping命令,嘗試訪問本地IDC中的客戶端。
ping <本地IDC客戶端的IP地址>如果可以收到響應報文,則表示本地IDC和VPC實例之間的網絡已連通,可以實現資源互訪。
驗證物理專線和IPsec-VPN連接已實現主備鏈路冗余。
在本地IDC的多個客戶端中持續向ECS實例發送訪問請求或者在客戶端中使用iPerf3工具持續向ECS實例發送訪問請求。關于如何安裝、使用iPerf3工具,請參見物理專線網絡性能測試方法。
登錄云企業網管理控制臺,查看VBR連接流量監控數據。具體操作,請參見監控云企業網資源。
正常情況下,流量默認通過物理專線進行傳輸,您可以在VBR連接監控頁簽查看到流量監控數據。
中斷物理專線連接。
例如,您可以在本地網關設備上關閉連接物理專線的接口來中斷物理專線連接。
重新登錄阿里云管理控制臺,查看VPN連接(IPsec連接)流量監控數據。具體操作,請參見監控云企業網資源。
正常情況下,物理專線中斷后,流量將自動切換至IPsec-VPN連接進行轉發,您可以在VPN連接的監控頁簽查看到流量監控數據。
路由說明
在本文中,創建IPsec連接、創建VPC連接、創建VBR連接、創建跨地域連接時均采用默認路由配置,默認路由配置下云企業網會自動完成路由的分發和學習以實現本地IDC和VPC實例之間的相互通信。默認路由配置說明如下:
IPsec連接
在創建IPsec連接時如果直接綁定轉發路由器實例,則系統會自動對IPsec連接進行以下路由配置:
IPsec連接默認被關聯至轉發路由器實例的默認路由表,轉發路由器實例將通過查詢默認路由表轉發來自IPsec連接的流量。
您為IPsec連接添加的目的路由或者IPsec連接通過BGP動態路由協議學習到的云下路由,均會被自動傳播至轉發路由器實例的默認路由表。
轉發路由器實例會將默認路由表下的其他路由條目自動傳播至IPsec連接的BGP路由表中。
IPsec連接會通過BGP動態路由協議將學習到的云上路由自動傳播至本地IDC中。
VPC實例
創建VPC連接時如果采用默認路由配置(即開啟所有高級配置),則系統會自動對VPC實例進行以下路由配置:
自動關聯至轉發路由器的默認路由表
開啟本功能后,VPC連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VPC實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動為VPC的所有路由表配置指向轉發路由器的路由
開啟本功能后,系統將在VPC實例的所有路由表內自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接。
重要如果VPC的路由表中已經存在目標網段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目,則系統無法再自動下發該路由條目,您需要在VPC路由表中手動添加指向VPC連接的路由條目以實現VPC和轉發路由器之間的流量互通。
您可以單擊發起路由檢查查看網絡實例內是否存在上述路由。
VBR實例
創建VBR連接時如果采用默認路由配置(即開啟所有高級配置),則系統會自動對VBR實例進行以下路由配置:
自動關聯至轉發路由器的默認路由表
開啟本功能后,VBR連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VBR實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
VBR實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動發布路由到VBR
開啟本功能后,系統自動將VBR連接關聯的轉發路由器路由表中的路由發布到VBR實例中。
跨地域連接
創建跨地域連接時如果采用默認路由配置(即開啟所有高級配置),則系統會自動對跨地域連接進行以下路由配置:
自動關聯至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立關聯轉發關系,兩個地域的轉發路由器將會通過查詢默認路由表轉發跨地域間的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發路由器的默認路由表建立路由學習關系。
自動發布路由到對端地域
開啟本功能后,即允許跨地域連接將本端轉發路由器路由表(指與跨地域連接建立關聯轉發關系的路由表)下的路由自動傳播至對端轉發路由器的路由表(指與跨地域連接建立路由學習關系的路由表)中,用于網絡實例跨地域互通。
查看路由條目
您可以在阿里云管理控制臺查看對應實例的路由條目信息:
查看轉發路由器實例路由條目信息,請參見查看企業版轉發路由器路由條目。
查看VPC實例路由條目信息,請參見創建和管理路由表。
查看VBR實例路由條目信息,請進入VBR實例詳情頁面:
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態欄,選擇VBR實例的地域。
在邊界路由器(VBR)頁面,單擊目標VBR實例ID。
進入VBR實例詳情頁面在路由條目頁簽下分別查看VBR實例自定義路由條目、BGP路由條目和CEN路由條目的信息。
查看IPsec連接的路由條目信息,請進入IPsec連接詳情頁面:
登錄VPN網關管理控制臺。
在頂部狀態欄處,選擇IPsec連接所屬的地域。
在左側導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
進入IPsec連接詳情頁面在BGP路由表頁簽下查看IPsec連接的路由條目信息。