全部产品
专有网络 VPC

搭建VPN网关

更新时间:2017-07-05 19:27:16   分享:   

阿里云VPN网关是基于Internet建立加密隧道进行通信,比建立专线的方式更简单,耗时更短,可以非常快速地将企业数据中心和云上VPC连接起来,构建混合云。

规划和准备

在部署VPN网关前,请做好网络规划:

  • 线下IDC和云上VPC的私网IP地址段规划不能相同,否则无法通信。

  • 规划VPN网关所在的VPC和交换机,即云上VPN网关的网络环境。

  • 确定线下IDC的网关设备,用哪个设备和云上VPC互联。阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和云上VPN网关互联,比如Cisco ASA、Juniper、SonicWall、Nokia、IBM、Ixia等。

应用场景

本操作适用于使用VPN网关搭建一个VPC与线下IDC互通的混合云场景。

假设阿里云上的VPC网段是192.168.0.0/16,线下IDC的网段是172.16.0.0/12,线下IDC的网关设备公网IP地址是211.167.68.68。通过VPN网关将云上VPC和线下IDC打通,使VPC内云资源和IDC内的服务器可以私网通信。

1

操作步骤

步骤一 创建VPN网关

  1. 打开VPN网关页面,然后单击创建VPN网关

  2. 在VPN网关购买页面,配置如下信息,然后单击立即购买,完成支付。

    • 地域: 选择华东1(杭州)地域。该地域要和您的VPC地域相同。

    • 专有网络和交换机: 选择要连接的VPC和交换机。

    • 带宽规格:选择带宽规格,带宽规格指的是VPN网关所具备的公网带宽。

      2

  3. 返回VPN网关页面,单击华东1地域,查看创建的VPN网关。

    刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化,可以正常使用了。

    0

步骤二 创建用户网关

  1. 打开用户网关页面,然后单击创建用户网关

  2. 创建用户网关对话框,输入线下IDC网关设备的公网IP地址,然后单击提交

    3

步骤三 创建VPN连接

  1. 打开VPN连接页面,然后单击创建VPN连接

  2. 创建VPN连接对话框,输入以下信息,然后单击提交

    • 本端网段:云上VPC的网段,本教程中是192.168.0.0/16。

    • 对端网段:线下IDC的网段,本教程中是172.16.0.0/12。

    • 如果您想更改IKE和IPSec配置,单击高级配置进行修改。

      4

步骤四 在线下IDC网关设备中加载配置

  1. 打开VPN连接页面,选择VPN连接的地域,本教程中选择华东1

  2. 找到目标VPN连接,然后单击下载配置

    5

  3. 根据线下IDC网关设备的配置要求,将上述配置加载到IDC网关设备中。

    注意:下载配置中的RemotSubnet和LocalSubnet与创建VPN连接时的本端网段和对端网段正好是相反的。因为从云上VPN网关角度看,对端是用户IDC的网段,本端是VPC网段;而从线下IDC的网关设备角度看,LocalSubnet就是指线下IDC的网段,RemotSubnet则是指云上VPC的网段。

    7

步骤五 设置路由

  1. 登录VPC管理控制台

  2. 专有网络列表页面,找到VPN网关所属的VPC,单击该VPC的ID链接。

  3. 在VPC详情页面,单击路由器,然后单击添加路由

  4. 添加路由对话框,配置如下信息,单击确定

    • 目标网段:线下IDC的网段,本教程中是172.16.0.0/12。

    • 下一跳类型:选择VPN网关。

    • VPN网关:选择创建好的VPN网关。

      8

步骤六 测试访问

登录到云上VPC内找一台不带公网IP的ECS实例,并通过 ping 命令ping线下IDC内一台服务器的私网IP地址,验证通信是否正常。

本文导读目录
本文导读目录
以上内容是否对您有帮助?