本文为您介绍如何使用IPsec-VPN,在本地数据中心IDC(Internet Data Center)与专有网络VPC(Virtual Private Cloud)之间建立私网连接。

选择IPsec连接绑定的资源

在配置IPsec-VPN过程中,您需要创建IPsec连接,IPsec连接支持绑定VPN网关实例和转发路由器实例。IPsec连接绑定VPN网关实例或转发路由器实例均可以在本地数据中心与VPC之间建立私网连接,但是绑定不同实例可实现的功能不完全相同,如下表所示。请依据您的应用场景,为IPsec连接选择适用的资源。

对比项 绑定VPN网关实例 绑定转发路由器实例
关联的资源 在创建IPsec连接前,您需购买VPN网关实例,VPN网关实例需关联至一个VPC上。

企业本地数据中心或企业办公网络可与VPN网关关联的VPC直接互通,也可以通过关联的VPC与其他网络互通。

在创建IPsec连接前,您无需购买VPN网关实例,也无需关联VPC,您需要使用云企业网CEN(Cloud Enterprise Network)产品,在云企业网下创建转发路由器实例,IPsec连接绑定转发路由器实例即可。

企业本地数据中心或企业办公网络可通过转发路由器实例与任意VPC互通,也可以与转发路由器实例下的其他网络直接互通。

计费方式 包年包月

即按月购买资源,先付费,后使用。

按量付费

按照资源的实际用量结算费用,先使用,后付费。

支持的加密算法
  • 国际标准商用密码算法
  • 中国国产商用密码算法
国际标准商用密码算法
单个IPsec连接支持的带宽规格 最大支持为1000 Mbps。
说明 部分地域的VPN网关实例带宽规格最大支持为200 Mbps。关于地域信息,请参见VPN网关实例使用限制
默认限制为1 Gbps,可随业务弹性扩展。
支持的网络类型
  • 公网

    表示通过互联网建立加密隧道。

  • 私网

    表示基于物理专线的私网连接建立加密隧道。

    说明 私网网络类型的VPN网关正在邀测中,您可以向客户经理申请体验或者提交工单申请体验。
  • 公网

    表示通过互联网建立加密隧道。

  • 私网

    表示基于物理专线的私网连接建立加密隧道。

实现高可用链路的方式 通过主备链路的方式实现链路的高可用(如图1_主备链路方式所示)。 通过ECMP(Equal-Cost Multipath Routing)方式实现链路的高可用(如图2_ECMP链路方式所示)。
图 1. 图1_主备链路方式
图2
图 2. 图2_ECMP链路方式
图3

使用限制

  • 目前,多个地域下的IPsec连接支持绑定转发路由器实例。关于支持的地域详情,请参见VPN网关功能支持的地域
  • IPsec连接仅支持绑定企业版转发路由器实例。

环境要求

使用IPsec-VPN功能建立本地数据中心与VPC的私网连接前,请确保您的环境满足以下条件:
  • 本地数据中心的网关设备必须支持IKEv1和IKEv2协议。

    IPsec-VPN支持IKEv1和IKEv2协议,支持这两种协议的网关设备均可以和VPC建立IPsec-VPN连接。

  • 本地数据中心和VPC间互通的网段没有重叠。
  • 您已了解VPC中所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则添加安全组规则

使用流程

在您建立IPsec-VPN的过程中,依据IPsec连接绑定的实例不同,配置流程也不同,请参见以下内容,选择适用的使用流程。

绑定VPN网关实例的使用流程

IPsec-VPN使用流程-1
配置步骤序号 配置步骤及操作文档链接 配置步骤说明
1 创建VPN网关实例 创建VPN网关实例时,开启IPsec-VPN功能。
2 创建用户网关 通过创建用户网关,将本地数据中心网关设备的信息注册到阿里云上。
3 创建IPsec连接 IPsec连接是VPN网关实例和本地数据中心网关设备建立连接后的加密通信通道。
说明 创建IPsec连接时,绑定资源需选择为VPN网关
4 配置本地网关设备 您需要在本地数据中心的网关设备中添加阿里云IPsec-VPN的配置,以便本地数据中心和VPN网关之间成功建立连接。
5 配置VPN网关路由 您需要在VPN网关实例中配置去往本地数据中心的路由,并将路由发布至VPC路由表以实现本地数据中心和VPC的私网连接。
6 测试连通性 登录到阿里云VPC内一台无公网IP地址的ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。

绑定转发路由器实例的使用流程

IPsec-VPN使用流程2
配置步骤序号 配置步骤及操作文档链接 配置步骤说明
1 创建云企业网实例 云企业网实例是转发路由器实例的载体,创建转发路由器实例前需要创建一个云企业网实例。
2 创建转发路由器实例 转发路由器实例是地域范围内的核心转发网元,您需要在本地数据中心所在的阿里云地域或者本地数据中心临近的阿里云地域创建转发路由器实例。
重要 创建转发路由器实例时,需为转发路由器实例配置转发路由器地址段,否则IPsec连接无法成功绑定转发路由器实例。

如果您已经创建了转发路由器实例,您可以单独为转发路由器实例添加转发路由器地址段。具体操作,请参见添加转发路由器地址段

3 创建用户网关 通过创建用户网关,将本地数据中心网关设备的信息注册到阿里云上。
4 创建IPsec连接 IPsec连接是阿里云和本地数据中心网关设备建立连接后的加密通信通道。

IPsec连接绑定转发路由器实例后,本地数据中心的流量可以通过IPsec连接进入转发路由器实例。

说明 创建IPsec连接时,绑定资源需选择为云企业网或者不绑定
5 配置本地网关设备 您需要在本地数据中心的网关设备中添加阿里云IPsec-VPN的配置,以便本地数据中心和阿里云之间成功建立连接。
6 配置IPsec连接路由 您需要在IPsec连接中配置去往本地数据中心的路由,并将路由发布至转发路由器实例的路由表中以实现本地数据中心和VPC的私网连接。
7 测试连通性 登录到阿里云VPC内一台无公网IP地址的ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。