本文为您介绍如何使用IPsec-VPN,在本地数据中心IDC(Internet Data Center)与专有网络VPC(Virtual Private Cloud)之间建立私网连接。
选择IPsec连接绑定的资源
在配置IPsec-VPN过程中,您需要创建IPsec连接,IPsec连接支持绑定VPN网关实例和转发路由器实例。IPsec连接绑定VPN网关实例或转发路由器实例均可以在本地数据中心与VPC之间建立私网连接,但是绑定不同实例可实现的功能不完全相同,如下表所示。请依据您的应用场景,为IPsec连接选择适用的资源。
对比项 | 绑定VPN网关实例 | 绑定转发路由器实例 |
---|---|---|
关联的资源 | 在创建IPsec连接前,您需购买VPN网关实例,VPN网关实例需关联至一个VPC上。
企业本地数据中心或企业办公网络可与VPN网关关联的VPC直接互通,也可以通过关联的VPC与其他网络互通。 |
在创建IPsec连接前,您无需购买VPN网关实例,也无需关联VPC,您需要使用云企业网CEN(Cloud Enterprise Network)产品,在云企业网下创建转发路由器实例,IPsec连接绑定转发路由器实例即可。
企业本地数据中心或企业办公网络可通过转发路由器实例与任意VPC互通,也可以与转发路由器实例下的其他网络直接互通。 |
计费方式 | 包年包月
即按月购买资源,先付费,后使用。 |
按量付费
按照资源的实际用量结算费用,先使用,后付费。 |
支持的加密算法 |
|
国际标准商用密码算法 |
单个IPsec连接支持的带宽规格 | 最大支持为1000 Mbps。
说明 部分地域的VPN网关实例带宽规格最大支持为200 Mbps。关于地域信息,请参见VPN网关实例使用限制。
|
默认限制为1 Gbps,可随业务弹性扩展。 |
支持的网络类型 |
|
|
实现高可用链路的方式 | 通过主备链路的方式实现链路的高可用(如图1_主备链路方式所示)。 | 通过ECMP(Equal-Cost Multipath Routing)方式实现链路的高可用(如图2_ECMP链路方式所示)。 |


使用限制
- 目前,多个地域下的IPsec连接支持绑定转发路由器实例。关于支持的地域详情,请参见VPN网关功能支持的地域。
- IPsec连接仅支持绑定企业版转发路由器实例。
环境要求
使用流程
在您建立IPsec-VPN的过程中,依据IPsec连接绑定的实例不同,配置流程也不同,请参见以下内容,选择适用的使用流程。
绑定VPN网关实例的使用流程

配置步骤序号 | 配置步骤及操作文档链接 | 配置步骤说明 |
---|---|---|
1 | 创建VPN网关实例 | 创建VPN网关实例时,开启IPsec-VPN功能。 |
2 | 创建用户网关 | 通过创建用户网关,将本地数据中心网关设备的信息注册到阿里云上。 |
3 | 创建IPsec连接 | IPsec连接是VPN网关实例和本地数据中心网关设备建立连接后的加密通信通道。
说明 创建IPsec连接时,绑定资源需选择为VPN网关。
|
4 | 配置本地网关设备 | 您需要在本地数据中心的网关设备中添加阿里云IPsec-VPN的配置,以便本地数据中心和VPN网关之间成功建立连接。 |
5 | 配置VPN网关路由 | 您需要在VPN网关实例中配置去往本地数据中心的路由,并将路由发布至VPC路由表以实现本地数据中心和VPC的私网连接。 |
6 | 测试连通性 | 登录到阿里云VPC内一台无公网IP地址的ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。 |
绑定转发路由器实例的使用流程

配置步骤序号 | 配置步骤及操作文档链接 | 配置步骤说明 |
---|---|---|
1 | 创建云企业网实例 | 云企业网实例是转发路由器实例的载体,创建转发路由器实例前需要创建一个云企业网实例。 |
2 | 创建转发路由器实例 | 转发路由器实例是地域范围内的核心转发网元,您需要在本地数据中心所在的阿里云地域或者本地数据中心临近的阿里云地域创建转发路由器实例。
重要 创建转发路由器实例时,需为转发路由器实例配置转发路由器地址段,否则IPsec连接无法成功绑定转发路由器实例。
如果您已经创建了转发路由器实例,您可以单独为转发路由器实例添加转发路由器地址段。具体操作,请参见添加转发路由器地址段。 |
3 | 创建用户网关 | 通过创建用户网关,将本地数据中心网关设备的信息注册到阿里云上。 |
4 | 创建IPsec连接 | IPsec连接是阿里云和本地数据中心网关设备建立连接后的加密通信通道。
IPsec连接绑定转发路由器实例后,本地数据中心的流量可以通过IPsec连接进入转发路由器实例。 说明 创建IPsec连接时,绑定资源需选择为云企业网或者不绑定。
|
5 | 配置本地网关设备 | 您需要在本地数据中心的网关设备中添加阿里云IPsec-VPN的配置,以便本地数据中心和阿里云之间成功建立连接。 |
6 | 配置IPsec连接路由 | 您需要在IPsec连接中配置去往本地数据中心的路由,并将路由发布至转发路由器实例的路由表中以实现本地数据中心和VPC的私网连接。 |
7 | 测试连通性 | 登录到阿里云VPC内一台无公网IP地址的ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。 |