本文为您介绍如何组合使用IPsec-VPN和物理专线,实现本地数据中心IDC(Internet Data Center)通过主备链路上云并和云上专有网络VPC(Virtual Private Cloud)互通。

方案概述

在企业上云过程中,一些企业的IDC数据、云上业务数据会统一汇聚到阿里云大数据平台,通过云计算能力进行数据挖掘、分析、开发数据应用。在此场景下,企业至阿里云通常是入向流量大于出向流量,业务交互也比较频繁,企业需要高可靠、高弹性的上云链路。

针对上述网络诉求,阿里云为您提供以下两种解决方案:

在上述方案中,本地IDC与VPC通过物理专线连接,作为上云的主链路,保障日常数据交互的可靠性。VPN网关或智能接入网关SAG(Smart Access Gateway)作为备用链路,解决网络弹性连接的诉求。
  • 当物理专线正常时,本地IDC与VPC之间的所有流量只通过物理专线进行转发。
  • 当物理专线异常时,本地IDC与VPC之间的所有流量将切换至VPN链路或SAG链路进行转发。

场景示例

本文以下图场景为例,为您介绍IPsec-VPN联合物理专线实现主备链路上云方案。某企业在杭州拥有一个本地IDC,且企业已经在阿里云华东1(杭州)地域部署了业务VPC1,VPC1中通过云服务器ECS(Elastic Compute Service)等云产品部署了应用业务和数据分析服务,用于后续业务交互和数据分析。企业现在需要部署上云的主备链路,以实现云下IDC和云上VPC1的互联互通。链路说明如下:

  • VPN网关将关联至一个独立的VPC(VPC2)。VPC2中不部署任何业务,仅作为中转VPC为本地IDC和云上搭建VPN链路。
  • 在物理专线和VPN链路都正常的情况下,本地IDC与VPC1之间的所有流量只通过物理专线进行转发;当物理专线异常时,本地IDC与VPC1之间的所有流量将切换至VPN链路进行转发。
主备链路架构图2.0

准备工作

  • 您需要为本地IDC和网络实例规划路由协议。本文路由协议规划如下:
    • 本地IDC网关设备与VPN网关之间配置静态路由。
    • 本地IDC网关设备与边界路由器VBR(Virtual border router)之间运行BGP动态路由协议。
      说明 在VPN网关作为物理专线备份链路的场景下,路由协议说明如下:
      • 如果VPN网关关联至一个独立的VPC(例如本文的VPC2)中,则VBR必须使用BGP动态路由协议,VPN网关可以使用静态路由或BGP动态路由协议。
      • 如果VPN网关关联至业务VPC(例如本文的VPC1)中,则VBR和VPN网关均需要使用BGP动态路由协议。
  • 您需要为本地IDC和网络实例规划网段,请确保网段之间没有重叠。本文网段规划如下。
    配置目标 网段规划 IP地址
    VPC1 192.168.0.0/16 云服务器地址:192.168.20.161
    VPC2 10.0.0.0/16 不涉及
    VBR 10.1.0.0/30
    • VLAN ID:0
    • 阿里云侧IPv4互联IP:10.1.0.1/30
    • 客户侧IPv4互联IP:10.1.0.2/30

      本文中客户侧指本地IDC的网关设备
    本地IDC 172.16.0.0/16 客户端地址:172.16.1.188
    本地IDC的网关设备 10.1.0.0/30
    • 公网IP地址:211.XX.XX.68
    • 与物理专线连接的端口IP地址:10.1.0.2/30
    • BGP AS号:65530
  • 您已经在阿里云华东1(杭州)地域创建了VPC1和VPC2。其中,VPC1部署有应用业务和数据分析服务;VPC2暂不部署业务,仅关联VPN网关,作为中转VPC为云下和云上搭建VPN链路。具体操作,请参见创建和管理专有网络
  • 请检查本地IDC网关设备,确保网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议,请咨询网关设备厂商。
  • 您已经为本地IDC网关设备配置了静态公网IP。
  • 您已经了解VPC1中的ECS实例所应用的安全组规则,并确保安全组规则允许本地IDC访问VPC1中的ECS实例。具体操作,请参见查询安全组规则添加安全组规则

配置流程

物理专线和VPN配置步骤

步骤一:部署物理专线

  1. 创建物理专线。
    您需要在华东1(杭州)地域申请一条物理专线。具体操作,请参见创建独享专线连接共享专线连接概述
  2. 创建VBR。
    1. 登录高速通道管理控制台
    2. 在左侧导航栏,单击边界路由器(VBR)
    3. 在顶部状态栏,选择要创建的VBR的地域。
      本示例选择华东1(杭州)地域。
    4. 边界路由器(VBR)页面,单击创建边界路由器
    5. 创建边界路由器面板,根据以下信息进行配置,然后单击确定
      • 账号类型:本示例选择当前账号
      • 名称:本示例输入VBR。
      • 物理专线接口:选择已申请的物理专线接口。
      • VLAN ID:0。
      • 阿里云侧IPv4互联IP:10.1.0.1。
      • 客户侧IPv4互联IP:10.1.0.2。
      • IPv4子网掩码:255.255.255.252。
  3. 配置BGP组。
    1. 边界路由器(VBR)页面,单击目标实例ID。
    2. 在边界路由器实例详情页面,单击BGP组页签,然后单击创建BGP组
    3. 创建BGP组面板,根据以下信息配置BGP组,然后单击确定
      • 名称:BGP组的名称。本示例输入test。
      • Peer AS号:本地IDC侧网关设备的AS号。本示例输入65530。
      • BGP密钥:BGP组的密钥。本示例不配置该项。
      • 描述:BGP组的描述信息。本示例输入test。
  4. 配置BGP邻居。
    1. 在边界路由器实例详情页面,单击BGP邻居页签,然后单击创建BGP邻居
    2. 创建BGP邻居面板,配置BGP邻居信息,然后单击确定
      • BGP组:选择要加入的BGP组。本示例选择已创建的BGP组。
      • BGP邻居IP:BGP邻居的IP地址。本示例输入本地IDC侧网关设备的端口IP地址10.1.0.2。

步骤二:部署VPN网关

  1. 创建VPN网关。
    1. 登录VPN网关管理控制台
    2. 在顶部菜单栏,选择华东1(杭州)地域。
    3. VPN网关页面,单击创建VPN网关
    4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
      • 实例名称:输入VPN网关的实例名称。
      • 地域和可用区:选择VPN网关的地域。

        本示例将VPN网关关联到VPC2上,确保VPC2和VPN网关的地域相同。本示例选择华东1(杭州)

      • 网关类型:选择要创建的VPN网关类型。本示例选择普通型
      • VPC: 选择要连接的VPC。本示例选择VPC2。
      • 指定交换机:是否指定VPN网关创建在VPC中的某一个交换机下。本示例选择

        如果您选择了,您还需要指定具体的虚拟交换机

      • 带宽规格:选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。
      • IPsec-VPN: 选择开启或关闭IPsec-VPN功能,IPsec-VPN功能可以在本地IDC与VPC之间或不同VPC之间建立连接。本示例选择开启
      • SSL-VPN: 选择开启或关闭SSL-VPN功能,SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。本示例选择关闭
      • 计费周期:选择购买时长。
    5. 返回VPN网关页面,查看创建的VPN网关并记录VPN网关公网IP地址,用于后续本地IDC侧路由配置。
      刚创建好的VPN网关的状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用。
  2. 创建用户网关。
    1. 在左侧导航栏,选择网间互联 > VPN > 用户网关
    2. 用户网关页面,单击创建用户网关
    3. 创建用户网关面板,根据以下信息配置用户网关,然后单击确定
      • 名称:输入用户网关的名称。
      • IP地址:输入VPC2要连接的本地IDC的网关设备的公网IP。本示例输入211.XX.XX.68。
      • 自治系统号:本地IDC网关设备的自治系统号。本示例无需配置该参数。
      • 描述:输入用户网关的描述信息。
  3. 创建IPsec连接。
    1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
    2. IPsec连接页面,单击创建IPsec连接
    3. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
      • 名称:输入IPsec连接的名称。
      • VPN网关:选择已创建的VPN网关。
      • 用户网关:选择已创建的用户网关。
      • 路由模式:选择路由模式。本示例选择目的路由模式
      • 立即生效:选择是否立即生效。本示例选择
        • :配置完成后立即进行协商。
        • :当有流量进入时进行协商。
      • 预共享密钥:输入共享密钥,本地IDC网关设备的预共享密钥必须与该值一致。本示例使用默认生成的随机值。

        其他选项使用默认配置。

      更多信息,请参见创建IPsec连接
  4. 配置VPN网关路由。
    您需要在VPN网关中将本地IDC的路由发布到VPC2中。
    1. IPsec连接创建成功后,在创建成功对话框,单击确定,去往VPN网关实例中进行路由发布。
    2. 在左侧导航栏,选择网间互联 > VPN > VPN网关
    3. VPN网关页面,找到目标VPN网关,单击目标实例ID。
    4. 目的路由表页签,单击添加路由条目
    5. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定
      • 目标网段:输入本地IDC的网段。本示例输入172.16.0.0/16。
      • 下一跳类型:选择IPsec连接
      • 下一跳:选择已创建的IPsec连接实例。
      • 发布到VPC:选择是否将新添加的路由发布到VPC2路由表。本示例选择
      • 权重:选择路由的权重值。本示例使用默认值100,表示高优先级。
        说明 若VPN网关中存在相同目标网段的目的路由,目的路由的权重值不支持同时设置为100。
  5. 在本地IDC网关设备中加载VPN配置。
    1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
    2. IPsec连接页面,找到目标IPsec连接,然后在操作列选择更多 > 下载对端配置
    3. 根据本地IDC网关设备的配置要求,将下载的配置添加到本地IDC网关设备中。具体操作,请参见本地网关配置

步骤三:配置云企业网

VBR和VPN网关配置完成后,您需要将VPC1、VPC2和VBR加入到云企业网中,云企业网可帮您实现本地IDC和VPC1间的互连互通。

  1. 创建云企业网实例。
    1. 登录云企业网管理控制台
    2. 云企业网实例页面,单击创建云企业网实例
    3. 创建云企业网实例面板,根据以下信息配置云企业网实例,然后单击确定
      • 名称:输入云企业网实例的名称。
      • 描述:输入云企业网实例的描述。
      • 实例类型:选择要加载的网络实例类型。本示例选择专有网络(VPC)
      • 地域:选择网络实例所属的地域。本示例选择华东1(杭州)
      • 网络实例:选择网络实例。本示例选择VPC2。
  2. 在云企业网实例中加载VPC1、VBR实例。
    1. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
    2. 网络实例管理页签,单击加载网络实例
    3. 加载网络实例页面,单击同账号页签。
    4. 根据以下信息选择要加载的网络实例,然后单击确定
      • 实例类型:选择要加载的网络实例类型。本示例选择专有网络(VPC)
      • 地域:选择网络实例所属地域。本示例选择华东1(杭州)
      • 网络实例:选择网络实例。本示例选择VPC1。
    5. 重复上述步骤,将VBR实例加载至该云企业网实例。
  3. 发布VPC2中的本地IDC路由至云企业网。
    您在VPN网关中将本地IDC路由发布到VPC2中后,VPC2中本地IDC的路由默认是未发布状态。您需要手动将VPC2中的本地IDC路由发布到云企业网中,以便VPC1也能从VPC2学习到本地IDC的路由。
    1. 登录云企业网管理控制台
    2. 云企业网实例页面,找到目标云企业网实例,单击实例ID。
    3. 在云企业网实例详情页面,单击路由信息页签。
    4. 路由信息页签下,选择查看VPC2网络实例的路由条目,找到本地IDC的路由,在发布状态列单击发布
    5. 发布路由对话框,单击确定
  4. 为物理专线配置健康检查。
    您需要为物理专线配置健康检查,健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会主动将流量切换到VPN链路。
    1. 登录云企业网管理控制台
    2. 在左侧导航栏,单击健康检查
    3. 选择VBR的地域,然后单击设置健康检查
    4. 设置健康检查面板,根据以下信息配置健康检查,然后单击确定
      • 云企业网实例:选择VBR加载的云企业网实例。
      • 边界路由器(VBR):选择要监控的VBR实例。
      • 源IP:本示例选择自动生成源IP

        使用自动生成源IP,系统将自动分配100.96.0.0/16地址段内的IP地址,探测链路的连通性。

      • 目标IP:输入VBR实例中客户侧IP地址。
      • 发包时间间隔(秒):指定健康检查时发送连续探测报文的时间间隔。单位:秒。本示例使用默认值。
      • 探测报文个数(个):指定健康检查时发送探测报文的个数。单位:个。本示例使用默认值。

步骤四:配置本地IDC网关设备

以下配置示例仅供参考。不同厂商的设备,配置命令可能会有所不同。具体命令,请咨询相关设备厂商。


#配置BGP动态路由协议,与VBR建立BGP邻居关系,同时宣告本地IDC私网网段至云上
interface GigabitEthernet 0/12          #该端口为本地IDC网关设备与物理专线连接的端口
no switchport
ip address 10.1.0.2 255.255.255.252     #端口的IP地址,需和VBR客户侧IPv4互联IP地址一致

router bgp 65530
bgp router-id 10.1.0.2                  
network 172.16.0.0 mask 255.255.0.0     #宣告本地IDC私网网段
neighbor 10.1.0.1 remote-as 45104       #和VBR建立BGP邻居关系
exit

#配置通过VPN网关去往VPC1的静态路由,使其优先级低于BGP路由
ip route 192.168.0.0 255.255.0.0 <VPN网关公网IP地址> preference 255
      
#配置健康检查探测报文的回程路由
ip route <健康检查源IP地址> 255.255.255.255 10.1.0.1

步骤五:测试连通性

  1. 在本地IDC下,打开客户端的命令行窗口。
  2. 执行ping命令,访问云上VPC1 192.168.0.0/16网段下的ECS实例IP地址,如果接收到回复报文,则表示本地IDC和VPC1连接成功。
  3. 在本地IDC网关设备上,关闭连接物理专线的端口,切断物理专线连接。在客户端再次执行ping命令,测试本地IDC和VPC1的连通性,如果接收到回复报文,则表示备份VPN链路可用。