場景示例

本文以下圖場景為例。某企業在中國杭州擁有一個本地數據中心，在阿里云華東1（杭州）地域擁有一個VPC，VPC中已使用云服務器ECS（Elastic Compute Service）部署了應用?，F在企業希望本地數據中心可以加密訪問VPC中的應用，且希望本地數據中心和VPC之間擁有多條連接，實現上云鏈路的高可用。

企業本地數據中心的本地網關設備上擁有多個公網IP地址，企業可以使用其中的兩個公網IP地址分別與VPC建立IPsec-VPN連接，在實現本地數據中心加密訪問VPC中應用的同時，實現上云鏈路的高可用。

網絡規劃

網絡功能規劃

本文場景中使用的網絡功能如下：

• 購買公網網絡類型的VPN網關實例。

• 建立IPsec連接時，兩個IPsec連接關聯至同一個VPN網關實例。

• VPN網關實例使用靜態路由，通過設置路由的權重值來指定主備IPsec-VPN連接。

• 兩個IPsec連接均啟用健康檢查功能，通過健康檢查探測IPsec-VPN連接的可用性。

  如果主IPsec-VPN連接健康檢查失敗，系統自動將流量切換至備IPsec-VPN連接進行傳輸。

網段規劃

準備工作

在開始配置前，請確保您已完成以下操作：

• 您已經在阿里云華東1（杭州）地域創建了一個VPC，并使用ECS部署了相關業務。具體操作，請參見搭建IPv4專有網絡。

• 確保本地數據中心的本地網關設備支持IKEv1和IKEv2協議，支持這兩種協議的本地網關設備均可以和阿里云VPN網關建立IPsec-VPN連接。

• 您已經了解VPC中的ECS實例所應用的安全組規則，并確保安全組規則允許本地數據中心的網關設備訪問云上資源。具體操作，請參見查詢安全組規則和添加安全組規則。

配置流程

步驟一：創建VPN網關

在建立IPsec-VPN連接前，您需要先創建一個VPN網關，并為VPN網關開啟IPsec-VPN功能。

1. 登錄VPN網關管理控制臺。

2. 在頂部菜單欄，選擇VPN網關的地域。

   VPN網關的地域需和待關聯的VPC實例的地域相同。本文選擇華東1（杭州）地域。

3. 在VPN網關頁面，單擊創建VPN網關。

4. 在購買頁面，根據以下信息配置VPN網關，然后單擊立即購買并完成支付。

   配置項	說明
   實例名稱	輸入VPN網關的名稱。 本文輸入VPN網關。
   地域和可用區	選擇VPN網關所屬的地域。 本文選擇華東1（杭州）。
   網關類型	選擇VPN網關的類型。 本文選擇普通型。
   網絡類型	選擇VPN網關的網絡類型。 本文選擇公網。
   隧道	系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。
   VPC	選擇VPN網關待關聯的VPC實例。 本文選擇已創建的VPC。
   虛擬交換機	從VPC實例中選擇一個交換機實例。 IPsec-VPN連接的隧道模式為單隧道時，您僅需要指定一個交換機實例。 IPsec-VPN連接的隧道模式為雙隧道時，您需要指定兩個交換機實例。 說明 系統默認幫您選擇第一個交換機實例，您可以手動修改或者直接使用默認的交換機實例。 創建VPN網關實例后，不支持修改VPN網關實例關聯的交換機實例，您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機以及交換機所屬可用區的信息。
   虛擬交換機2	從VPC實例中選擇第二個交換機實例。 IPsec-VPN連接的隧道模式為單隧道時，無需配置該項。
   帶寬規格	選擇VPN網關的帶寬峰值。單位：Mbps。
   IPsec-VPN	選擇是否開啟IPsec-VPN功能。 本文保持默認值，即開啟IPsec-VPN功能。
   SSL-VPN	選擇是否開啟SSL-VPN功能。 本文保持默認值，即關閉SSL-VPN功能。
   計費周期	選擇購買時長。 您可以選擇是否自動續費： 按月購買：自動續費周期為1個月。 按年購買：自動續費周期為1年。
   服務關聯角色	單擊創建關聯角色，系統自動創建服務關聯角色AliyunServiceRoleForVpn。 VPN網關使用此角色來訪問其他云產品中的資源，更多信息，請參見AliyunServiceRoleForVpn。 若本配置項顯示為已創建，則表示您的賬號下已創建了該角色，無需重復創建。

5. 返回VPN網關頁面，查看已創建的VPN網關實例。

   創建VPN網關實例后，其狀態是準備中，約1~5分鐘會變成正常狀態。正常狀態表明VPN網關實例已經完成了初始化，可以正常使用。

步驟二：創建用戶網關

在建立IPsec-VPN連接前，您需要創建用戶網關，將本地網關設備的信息注冊至阿里云上。

1. 在左側導航欄，選擇網間互聯 > VPN > 用戶網關。

2. 在頂部菜單欄，選擇用戶網關實例的地域。

   說明

   用戶網關實例的地域必須和步驟一中創建的VPN網關實例的地域相同。

3. 在用戶網關頁面，單擊創建用戶網關。

4. 在創建用戶網關面板，根據以下信息配置用戶網關，然后單擊確定。

   請根據下表信息創建2個用戶網關分別關聯不同的公網IP地址。以下僅列舉本文強相關的配置項，其余配置項保持默認值，如果您想要了解更多信息，請參見創建用戶網關。

   配置項	配置項說明	用戶網關1	用戶網關2
   名稱	輸入用戶網關的名稱。	本文輸入Customer1。	本文輸入Customer2。
   IP地址	輸入用戶網關的公網IP地址。	本文輸入本地網關設備的公網IP地址1118.XX.XX.20。	本文輸入本地網關設備的公網IP地址2120.XX.XX.40。

步驟三：創建IPsec連接

創建用戶網關后，您需要創建IPsec連接，VPN網關將通過IPsec連接與本地網關設備建立IPsec-VPN連接。

1. 在左側導航欄，選擇網間互聯 > VPN > IPsec連接。

2. 在頂部菜單欄，選擇IPsec連接的地域。

   說明

   IPsec連接的地域必須和步驟一中創建的VPN網關實例的地域相同。

3. 在IPsec連接頁面，單擊創建IPsec連接。

4. 在創建IPsec連接頁面，根據以下信息配置IPsec連接，然后單擊確定。

   請根據下表信息創建2個IPsec連接分別關聯不同的用戶網關。以下僅列舉本文強相關的配置項，其余配置項保持默認值，如果您想要了解更多信息，請參見創建和管理IPsec連接（單隧道模式）。

   配置項	配置項說明	IPsec連接1	IPsec連接2
   名稱	輸入IPsec連接的名稱。	本文輸入IPsec連接1	本文輸入IPsec連接2
   綁定資源	選擇IPsec連接綁定的資源類型。	本文選擇VPN網關。
   VPN網關	選擇已創建的VPN網關實例。	本文選擇VPN網關。	本文選擇VPN網關。
   用戶網關	選擇已創建的用戶網關實例。	本文選擇Customer1。	本文選擇Customer2。
   路由模式	選擇路由模式。	本文選擇目的路由模式。
   立即生效	選擇IPsec連接的配置是否立即生效。取值： 是：配置完成后立即進行協商。 否：當有流量進入時進行協商。	本文選擇否。
   預共享密鑰	輸入IPsec連接的認證密鑰，用于本地網關設備和IPsec連接之間的身份認證。 密鑰長度為1~100個字符，支持數字、大小寫英文字母及右側字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 若您未指定預共享密鑰，系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后，您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作，請參見修改IPsec連接。 重要 IPsec連接兩側配置的預共享密鑰需一致，否則系統無法正常建立IPsec連接。	本文輸入fddsFF123****。
   加密配置	添加IKE配置和IPsec配置。	本文使用IKEv1版本，其余選項保持默認值。
   BGP配置	選擇是否開啟BGP配置。	本文保持默認值，即不開啟BGP配置。
   健康檢查	選擇是否開啟健康檢查功能。 目標IP：輸入VPC側通過IPsec連接可以訪問的本地數據中心的IP地址。 源IP：輸入本地數據中心通過IPsec連接可以訪問的VPC側的IP地址。 重試間隔：選擇健康檢查的重試間隔時間，單位：秒。默認值：3。 重試次數：選擇健康檢查的重試次數。默認值：3。	本文開啟健康檢查功能，并添加以下配置： 目標IP：192.168.0.1。 源IP：172.16.10.1。 重試間隔：3。 重試次數：3。	本文開啟健康檢查功能，并添加以下配置： 目標IP：192.168.0.2。 源IP：172.16.20.1。 重試間隔：3。 重試次數：3。

5. 在創建成功對話框中，單擊確定。

6. 返回至IPsec連接頁面，找到目標IPsec連接，在操作列單擊下載對端配置。

   將IPsec連接1和IPsec連接2的對端配置保存在您的本地，用于后續配置本地網關設備。

步驟四：配置VPN網關路由

您需要為VPN網關配置路由，引導VPC去往本地數據中心的流量進入IPsec-VPN連接。

1. 在左側導航欄，選擇網間互聯 > VPN > VPN網關。
2. 在頂部菜單欄，選擇VPN網關實例的地域。

3. 在VPN網關頁面，找到目標VPN網關實例，單擊實例ID。

4. 在目的路由表頁簽，單擊添加路由條目。

5. 在添加路由條目面板，根據以下信息配置目的路由，然后單擊確定。

   請根據下表信息為VPN網關添加兩條目的路由，通過設置目的路由的權重值指定主備IPsec-VPN連接。

   配置項	配置說明	路由條目1	路由條目2
   目標網段	輸入待互通的目標網段。	輸入本地數據中心待和VPC互通的網段192.168.0.0/24。	輸入本地數據中心待和VPC互通的網段192.168.0.0/24。
   下一跳類型	選擇下一跳的類型。	選擇IPsec連接。	選擇IPsec連接。
   下一跳	選擇下一跳。	選擇IPsec連接1。	選擇IPsec連接2。
   發布到VPC	選擇是否將新添加的路由發布到VPN網關關聯的VPC的路由表中。	本文選擇是。	本文選擇是。
   權重	選擇路由的權重值。 100：高優先級。 0：低優先級。	本文選擇100（主）。 重要 通過設置不同的路由權重來區分主備路由，兩條目的路由的權重不能同時設置為100，也不能同時設置為0。	本文選擇0（備）。

步驟五：配置本地網關設備

在阿里云側完成配置后，您需要在本地網關設備上添加VPN配置、路由配置以及健康檢查配置，使本地網關設備與VPN網關之間成功建立IPsec-VPN連接，同時使本地數據中心去往VPC的流量優先通過主IPsec-VPN連接，在主IPsec-VPN連接中斷后自動切換至備IPsec-VPN連接。

以下配置示例僅供參考，不同廠商的設備配置命令可能會有所不同。具體命令，請咨詢相關設備廠商。

1. 在本地網關設備中添加VPN配置。

   根據在步驟6中下載的IPsec連接對端配置，在本地網關設備中添加VPN配置。

   1. 登錄本地網關設備的命令行配置界面。

   2. 配置isakmp策略。

      crypto isakmp policy 1 
      authentication pre-share 
      encryption aes
      hash sha 
      group  2
      lifetime 86400

   3. 配置預共享密鑰。

      crypto isakmp key fddsFF123**** address 46.XX.XX.21

   4. 配置IPsec安全協議。

      crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac 
      mode tunnel

   5. 配置ACL（訪問控制列表），定義需要保護的數據流。

      說明

      如果本地網關設備配置了多網段，則需要分別針對多個網段添加ACL策略。

      access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255

   6. 配置IPsec策略。

      crypto map ipsecpro64 10 ipsec-isakmp
      set peer 46.XX.XX.21
      set transform-set ipsecpro64
      set pfs group2
      match address 100

   7. 應用IPsec策略。

      interface GigabitEthernet1    #在配置公網IP地址1的接口下應用IPsec策略
      crypto map ipsecpro64
      interface GigabitEthernet2    #在配置公網IP地址2的接口下應用IPsec策略
      crypto map ipsecpro64

2. 在本地網關設備中添加路由配置以及健康檢查配置。

   使本地數據中心去往VPC的流量優先通過主IPsec-VPN連接，同時通過健康檢查功能自動檢測主IPsec-VPN連接的連通性，在主IPsec-VPN連接不通的情況下自動引導本地數據中心去往VPC的流量進入備IPsec-VPN連接。

   type icmp-echo  
    destination ip 46.XX.XX.21  #目標IP地址為VPN網關公網IP地址。
    frequency 5000  
    reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only
   nqa schedule admin test start-time now lifetime forever
   track 1 nqa entry admin test reaction 1
   ip route-static 172.16.0.0 16 118.XX.XX.20 track 1 preference 40     #172.16.0.0/16為VPC待和本地數據中心互通的網段；118.XX.XX.20為本地網關設備與VPN網關建立主IPsec-VPN連接的公網IP地址。
   ip route-static 172.16.0.0 16 120.XX.XX.40     #172.16.0.0/16為VPC待和本地數據中心互通的網段；120.XX.XX.40為本地網關設備與VPN網關建立備IPsec-VPN連接的公網IP地址。

3. 在本地網關設備中添加IPsec連接健康檢查的回程路由。

   在本地網關設備中添加一條目標網段為源IP地址，子網掩碼為32位，下一跳指向IPsec連接的路由條目，以確保阿里云IPsec連接健康檢查功能正常工作。

   ip route-static 172.16.10.1 32  118.XX.XX.20  #配置IPsec連接1健康檢查的回程路由
   ip route-static 172.16.20.1 32  120.XX.XX.40  #配置IPsec連接2健康檢查的回程路由  

步驟六：驗證測試

完成上述步驟后，本地數據中心可通過兩條IPsec-VPN連接與VPC互通。以下內容介紹如何測試網絡連通性以及如何驗證兩條IPsec-VPN連接已實現主備鏈路冗余。

1. 網絡連通性測試。

   1. 登錄VPC下任意一個ECS實例，本文登錄ECS1實例。具體操作，請參見ECS遠程連接操作指南。

   2. 在ECS1實例中執行ping命令，嘗試訪問本地數據中心的客戶端。

      ping <本地數據中心客戶端的IP地址>

      如果可以收到客戶端發出的回復報文，則表示本地數據中心和VPC之間的網絡已連通，可以實現資源互訪。

2. 驗證兩條IPsec-VPN連接已實現主備鏈路冗余。

   1. 在本地數據中心的多個客戶端中持續向ECS1實例發送訪問請求，或者在客戶端中使用iPerf3工具持續向ECS1實例發送訪問請求。關于如何安裝、使用iPerf3工具，請參見物理專線網絡性能測試方法。

   2. 登錄阿里云管理控制臺，在IPsec連接的詳情頁面查看流量監控數據。

      正常情況下，僅主IPsec-VPN連接關聯的IPsec連接1的詳情頁面下有流量監控數據。

      您可以通過以下步驟進入IPsec連接1的詳情頁面：

      1. 登錄VPN網關管理控制臺。

      2. 在頂部狀態欄處，選擇IPsec連接1所屬的地域。

      3. 在左側導航欄，選擇網間互聯 > VPN > IPsec連接。

      4. 在IPsec連接頁面，找到目標IPsec連接1，單擊IPsec連接1的ID。

         進入IPsec連接1的詳情頁面在監控頁簽下查看流量監控數據。

   3. 中斷主IPsec-VPN連接。

      例如，您可以在本地網關設備上關閉與VPN網關建立主IPsec-VPN連接的接口來中斷主IPsec-VPN連接。關于如何關閉接口，請參見您的本地網關設備操作指南。

   4. 重新登錄阿里云管理控制臺，在備IPsec-VPN連接關聯的IPsec連接2的詳情頁面查看流量監控數據。

      正常情況下，主IPsec-VPN連接中斷后，流量將自動切換至備IPsec-VPN連接進行轉發，您可以在備IPsec-VPN連接關聯的IPsec連接2的詳情頁面查看到流量的監控數據。