如果您本地數據中心的一臺本地網關設備上配置了多個公網IP地址,您可以使用其中的兩個公網IP地址與阿里云專有網絡VPC(Virtual Private Cloud)建立兩條IPsec-VPN連接,這兩條IPsec-VPN連接可以作為主備鏈路,實現本地數據中心與VPC之間的高可用連接。
場景示例
本文以下圖場景為例。某企業在中國杭州擁有一個本地數據中心,在阿里云華東1(杭州)地域擁有一個VPC,VPC中已使用云服務器ECS(Elastic Compute Service)部署了應用?,F在企業希望本地數據中心可以加密訪問VPC中的應用,且希望本地數據中心和VPC之間擁有多條連接,實現上云鏈路的高可用。
企業本地數據中心的本地網關設備上擁有多個公網IP地址,企業可以使用其中的兩個公網IP地址分別與VPC建立IPsec-VPN連接,在實現本地數據中心加密訪問VPC中應用的同時,實現上云鏈路的高可用。
網絡規劃
網絡功能規劃
本文場景中使用的網絡功能如下:
購買公網網絡類型的VPN網關實例。
建立IPsec連接時,兩個IPsec連接關聯至同一個VPN網關實例。
VPN網關實例使用靜態路由,通過設置路由的權重值來指定主備IPsec-VPN連接。
兩個IPsec連接均啟用健康檢查功能,通過健康檢查探測IPsec-VPN連接的可用性。
如果主IPsec-VPN連接健康檢查失敗,系統自動將流量切換至備IPsec-VPN連接進行傳輸。
網段規劃
在您規劃網段時,請確保本地數據中心和VPC之間要互通的網段沒有重疊。
資源 | 網段及IP地址 |
VPC | 主網段:172.16.0.0/16
|
本地網關設備 | 本地網關設備的公網IP地址:
|
本地數據中心 | 待和VPC互通的網段:192.168.0.0/24 |
準備工作
在開始配置前,請確保您已完成以下操作:
您已經在阿里云華東1(杭州)地域創建了一個VPC,并使用ECS部署了相關業務。具體操作,請參見搭建IPv4專有網絡。
確保本地數據中心的本地網關設備支持IKEv1和IKEv2協議,支持這兩種協議的本地網關設備均可以和阿里云VPN網關建立IPsec-VPN連接。
- 您已經了解VPC中的ECS實例所應用的安全組規則,并確保安全組規則允許本地數據中心的網關設備訪問云上資源。具體操作,請參見查詢安全組規則和添加安全組規則。
配置流程
步驟一:創建VPN網關
在建立IPsec-VPN連接前,您需要先創建一個VPN網關,并為VPN網關開啟IPsec-VPN功能。
- 登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關的地域。
VPN網關的地域需和待關聯的VPC實例的地域相同。本文選擇華東1(杭州)地域。
- 在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息配置VPN網關,然后單擊立即購買并完成支付。
配置項
說明
實例名稱
輸入VPN網關的名稱。
本文輸入VPN網關。
地域和可用區
選擇VPN網關所屬的地域。
本文選擇華東1(杭州)。
網關類型
選擇VPN網關的類型。
本文選擇普通型。
網絡類型
選擇VPN網關的網絡類型。
本文選擇公網。
隧道
系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。
VPC
選擇VPN網關待關聯的VPC實例。
本文選擇已創建的VPC。
虛擬交換機
從VPC實例中選擇一個交換機實例。
- IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
- IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
說明- 系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
- 創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機以及交換機所屬可用區的信息。
虛擬交換機2
從VPC實例中選擇第二個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,無需配置該項。
帶寬規格
選擇VPN網關的帶寬峰值。單位:Mbps。
IPsec-VPN
選擇是否開啟IPsec-VPN功能。
本文保持默認值,即開啟IPsec-VPN功能。
SSL-VPN
選擇是否開啟SSL-VPN功能。
本文保持默認值,即關閉SSL-VPN功能。
計費周期
選擇購買時長。
您可以選擇是否自動續費:
按月購買:自動續費周期為1個月。
按年購買:自動續費周期為1年。
服務關聯角色
單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他云產品中的資源,更多信息,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已創建,則表示您的賬號下已創建了該角色,無需重復創建。
返回VPN網關頁面,查看已創建的VPN網關實例。
創建VPN網關實例后,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關實例已經完成了初始化,可以正常使用。
步驟二:創建用戶網關
在建立IPsec-VPN連接前,您需要創建用戶網關,將本地網關設備的信息注冊至阿里云上。
- 在左側導航欄,選擇 。
在頂部菜單欄,選擇用戶網關實例的地域。
說明用戶網關實例的地域必須和步驟一中創建的VPN網關實例的地域相同。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息配置用戶網關,然后單擊確定。
請根據下表信息創建2個用戶網關分別關聯不同的公網IP地址。以下僅列舉本文強相關的配置項,其余配置項保持默認值,如果您想要了解更多信息,請參見創建用戶網關。
配置項
配置項說明
用戶網關1
用戶網關2
名稱
輸入用戶網關的名稱。
本文輸入Customer1。
本文輸入Customer2。
IP地址
輸入用戶網關的公網IP地址。
本文輸入本地網關設備的公網IP地址1118.XX.XX.20。
本文輸入本地網關設備的公網IP地址2120.XX.XX.40。
步驟三:創建IPsec連接
創建用戶網關后,您需要創建IPsec連接,VPN網關將通過IPsec連接與本地網關設備建立IPsec-VPN連接。
- 在左側導航欄,選擇 。
在頂部菜單欄,選擇IPsec連接的地域。
說明IPsec連接的地域必須和步驟一中創建的VPN網關實例的地域相同。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
請根據下表信息創建2個IPsec連接分別關聯不同的用戶網關。以下僅列舉本文強相關的配置項,其余配置項保持默認值,如果您想要了解更多信息,請參見創建和管理IPsec連接(單隧道模式)。
配置項
配置項說明
IPsec連接1
IPsec連接2
名稱
輸入IPsec連接的名稱。
本文輸入IPsec連接1
本文輸入IPsec連接2
綁定資源
選擇IPsec連接綁定的資源類型。
本文選擇VPN網關。
VPN網關
選擇已創建的VPN網關實例。
本文選擇VPN網關。
本文選擇VPN網關。
用戶網關
選擇已創建的用戶網關實例。
本文選擇Customer1。
本文選擇Customer2。
路由模式
選擇路由模式。
本文選擇目的路由模式。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本文選擇否。
預共享密鑰
輸入IPsec連接的認證密鑰,用于本地網關設備和IPsec連接之間的身份認證。
密鑰長度為1~100個字符,支持數字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?
。若您未指定預共享密鑰,系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后,您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作,請參見修改IPsec連接。
重要IPsec連接兩側配置的預共享密鑰需一致,否則系統無法正常建立IPsec連接。
本文輸入fddsFF123****。
加密配置
添加IKE配置和IPsec配置。
本文使用IKEv1版本,其余選項保持默認值。
BGP配置
選擇是否開啟BGP配置。
本文保持默認值,即不開啟BGP配置。
健康檢查
選擇是否開啟健康檢查功能。
目標IP:輸入VPC側通過IPsec連接可以訪問的本地數據中心的IP地址。
源IP:輸入本地數據中心通過IPsec連接可以訪問的VPC側的IP地址。
重試間隔:選擇健康檢查的重試間隔時間,單位:秒。默認值:3。
重試次數:選擇健康檢查的重試次數。默認值:3。
本文開啟健康檢查功能,并添加以下配置:
目標IP:192.168.0.1。
源IP:172.16.10.1。
重試間隔:3。
重試次數:3。
本文開啟健康檢查功能,并添加以下配置:
目標IP:192.168.0.2。
源IP:172.16.20.1。
重試間隔:3。
重試次數:3。
在創建成功對話框中,單擊確定。
返回至IPsec連接頁面,找到目標IPsec連接,在操作列單擊下載對端配置。
將IPsec連接1和IPsec連接2的對端配置保存在您的本地,用于后續配置本地網關設備。
步驟四:配置VPN網關路由
您需要為VPN網關配置路由,引導VPC去往本地數據中心的流量進入IPsec-VPN連接。
- 在左側導航欄,選擇 。
- 在頂部菜單欄,選擇VPN網關實例的地域。
在VPN網關頁面,找到目標VPN網關實例,單擊實例ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下信息配置目的路由,然后單擊確定。
請根據下表信息為VPN網關添加兩條目的路由,通過設置目的路由的權重值指定主備IPsec-VPN連接。
配置項
配置說明
路由條目1
路由條目2
目標網段
輸入待互通的目標網段。
輸入本地數據中心待和VPC互通的網段192.168.0.0/24。
輸入本地數據中心待和VPC互通的網段192.168.0.0/24。
下一跳類型
選擇下一跳的類型。
選擇IPsec連接。
選擇IPsec連接。
下一跳
選擇下一跳。
選擇IPsec連接1。
選擇IPsec連接2。
發布到VPC
選擇是否將新添加的路由發布到VPN網關關聯的VPC的路由表中。
本文選擇是。
本文選擇是。
權重
選擇路由的權重值。
100:高優先級。
0:低優先級。
本文選擇100(主)。
重要通過設置不同的路由權重來區分主備路由,兩條目的路由的權重不能同時設置為100,也不能同時設置為0。
本文選擇0(備)。
步驟五:配置本地網關設備
在阿里云側完成配置后,您需要在本地網關設備上添加VPN配置、路由配置以及健康檢查配置,使本地網關設備與VPN網關之間成功建立IPsec-VPN連接,同時使本地數據中心去往VPC的流量優先通過主IPsec-VPN連接,在主IPsec-VPN連接中斷后自動切換至備IPsec-VPN連接。
以下配置示例僅供參考,不同廠商的設備配置命令可能會有所不同。具體命令,請咨詢相關設備廠商。
在本地網關設備中添加VPN配置。
登錄本地網關設備的命令行配置界面。
配置isakmp策略。
crypto isakmp policy 1 authentication pre-share encryption aes hash sha group 2 lifetime 86400
配置預共享密鑰。
crypto isakmp key fddsFF123**** address 46.XX.XX.21
配置IPsec安全協議。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel
配置ACL(訪問控制列表),定義需要保護的數據流。
說明如果本地網關設備配置了多網段,則需要分別針對多個網段添加ACL策略。
access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
配置IPsec策略。
crypto map ipsecpro64 10 ipsec-isakmp set peer 46.XX.XX.21 set transform-set ipsecpro64 set pfs group2 match address 100
應用IPsec策略。
interface GigabitEthernet1 #在配置公網IP地址1的接口下應用IPsec策略 crypto map ipsecpro64 interface GigabitEthernet2 #在配置公網IP地址2的接口下應用IPsec策略 crypto map ipsecpro64
在本地網關設備中添加路由配置以及健康檢查配置。
使本地數據中心去往VPC的流量優先通過主IPsec-VPN連接,同時通過健康檢查功能自動檢測主IPsec-VPN連接的連通性,在主IPsec-VPN連接不通的情況下自動引導本地數據中心去往VPC的流量進入備IPsec-VPN連接。
type icmp-echo destination ip 46.XX.XX.21 #目標IP地址為VPN網關公網IP地址。 frequency 5000 reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only nqa schedule admin test start-time now lifetime forever track 1 nqa entry admin test reaction 1 ip route-static 172.16.0.0 16 118.XX.XX.20 track 1 preference 40 #172.16.0.0/16為VPC待和本地數據中心互通的網段;118.XX.XX.20為本地網關設備與VPN網關建立主IPsec-VPN連接的公網IP地址。 ip route-static 172.16.0.0 16 120.XX.XX.40 #172.16.0.0/16為VPC待和本地數據中心互通的網段;120.XX.XX.40為本地網關設備與VPN網關建立備IPsec-VPN連接的公網IP地址。
在本地網關設備中添加IPsec連接健康檢查的回程路由。
在本地網關設備中添加一條目標網段為源IP地址,子網掩碼為32位,下一跳指向IPsec連接的路由條目,以確保阿里云IPsec連接健康檢查功能正常工作。
ip route-static 172.16.10.1 32 118.XX.XX.20 #配置IPsec連接1健康檢查的回程路由 ip route-static 172.16.20.1 32 120.XX.XX.40 #配置IPsec連接2健康檢查的回程路由
步驟六:驗證測試
完成上述步驟后,本地數據中心可通過兩條IPsec-VPN連接與VPC互通。以下內容介紹如何測試網絡連通性以及如何驗證兩條IPsec-VPN連接已實現主備鏈路冗余。
網絡連通性測試。
登錄VPC下任意一個ECS實例,本文登錄ECS1實例。具體操作,請參見ECS遠程連接操作指南。
在ECS1實例中執行ping命令,嘗試訪問本地數據中心的客戶端。
ping <本地數據中心客戶端的IP地址>
如果可以收到客戶端發出的回復報文,則表示本地數據中心和VPC之間的網絡已連通,可以實現資源互訪。
驗證兩條IPsec-VPN連接已實現主備鏈路冗余。
在本地數據中心的多個客戶端中持續向ECS1實例發送訪問請求,或者在客戶端中使用iPerf3工具持續向ECS1實例發送訪問請求。關于如何安裝、使用iPerf3工具,請參見物理專線網絡性能測試方法。
登錄阿里云管理控制臺,在IPsec連接的詳情頁面查看流量監控數據。
正常情況下,僅主IPsec-VPN連接關聯的IPsec連接1的詳情頁面下有流量監控數據。
您可以通過以下步驟進入IPsec連接1的詳情頁面:
登錄VPN網關管理控制臺。
在頂部狀態欄處,選擇IPsec連接1所屬的地域。
在左側導航欄,選擇
。在IPsec連接頁面,找到目標IPsec連接1,單擊IPsec連接1的ID。
進入IPsec連接1的詳情頁面在監控頁簽下查看流量監控數據。
中斷主IPsec-VPN連接。
例如,您可以在本地網關設備上關閉與VPN網關建立主IPsec-VPN連接的接口來中斷主IPsec-VPN連接。關于如何關閉接口,請參見您的本地網關設備操作指南。
重新登錄阿里云管理控制臺,在備IPsec-VPN連接關聯的IPsec連接2的詳情頁面查看流量監控數據。
正常情況下,主IPsec-VPN連接中斷后,流量將自動切換至備IPsec-VPN連接進行轉發,您可以在備IPsec-VPN連接關聯的IPsec連接2的詳情頁面查看到流量的監控數據。