如果您的本地网关有双公网IP,您可以分别与VPN网关建立IPsec隧道,以实现主备隧道冗余。

方案概述

本地网关拥有两条Internet链路,每条Internet链路对应一个公网IP。VPN网关分别与本地网关的两个公网IP建立IPsec连接并开启健康检查,通过设置不同的路由权重区分主备路由。主路由关联的IPsec隧道为主隧道,备用路由关联的IPsec隧道为备用隧道。
  • 当基于IP1的Internet链路正常时,本地数据中心与VPC之间的所有流量只通过主隧道转发。
  • 当基于IP1的Internet链路异常时,本地数据中心与VPC之间的所有流量切换到备用隧道。

前提条件

在开始之前,确保您的环境满足以下条件:

  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 检查本地数据中心的网关设备。阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和云上VPN网关互连,例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等厂商的设备。
  • 本地数据中心的网关已经配置了静态公网IP。
  • 本地数据中心的网段和VPC的网段不能重叠。

步骤一:创建VPN网关

完成以下操作,创建VPN网关。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > VPN网关
  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
    • 实例名称:输入VPN网关的实例名称。
    • 地域和可用区:选择VPN网关的地域和可用区。
      说明 确保VPC的地域和VPN网关的地域相同。
    • VPC:选择要连接的VPC。
    • 带宽规格:选择一个带宽规格。带宽规格是VPN网关所具备的公网带宽。
    • IPsec-VPN:选择开启IPsec-VPN功能。
    • SSL-VPN:选择是否开启SSL-VPN功能。SSL-VPN功能允许您从任何位置的单台计算机连接到专有网络。
    • SSL连接数: 选择您需要同时连接的客户端最大规格。
      说明 本选项只有在选择开启了SSL-VPN功能后才可配置。
    • 计费周期:选择购买时长。
  5. 返回VPN网关页面,查看创建的VPN网关。
    刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用了。
    说明 VPN网关的创建一般需要1~5分钟。

步骤二:创建用户网关

完成以下操作,创建两个用户网关,将本地网关的两个公网IP地址注册到用户网关中用于建立IPsec连接。
  1. 在左侧导航栏,单击VPN > 用户网关
  2. 选择用户网关的地域。
  3. 用户网关页面,单击创建用户网关
  4. 根据以下信息配置用户网关:
    • 名称:输入用户网关的名称。
    • IP地址:输入VPC要连接的本地数据中心网关设备的公网IP。
    • 描述:输入用户网关的描述信息。
  5. 创建用户网关页面,单击+添加 添加另一用户网关。

步骤三:创建IPsec连接

完成以下操作,创建两个IPsec连接,将VPN网关分别和两个用户网关连接起来,并开启健康检查。
  1. 在左侧导航栏,单击VPN > IPSec连接
  2. 选择IPsec连接的地域。
  3. IPsec连接页面,单击创建IPsec连接
  4. 根据以下信息配置IPsec连接,然后单击确定
    • 名称:输入IPsec连接的名称。
    • VPN网关: 选择已创建的VPN网关。
    • 用户网关:选择要连接的用户网关。
    • 本端网段:输入已选VPN网关所属VPC的网段。
    • 对端网段:输入本地数据中心的网段。
    • 是否立即生效:选择是否立即协商。
      • 是:配置完成后立即进行协商。
      • 否:当有流量进入时进行协商。
    • 预共享密钥:输入共享密钥,该值必须与用于本地网关设备的值匹配。
    • 健康检查:开启健康检查并输入目的IP、源IP、重试间隔和重试次数。

      其他选项使用默认配置。

  5. 重复以上操作,创建与另一用户网关的IPsec连接。

步骤四:在本地网关设备中加载VPN配置

完成以下操作,在本地网关设备中加载VPN配置。
  1. 在左侧导航栏,单击VPN > IPSec连接
  2. 选择IPsec连接的地域。
  3. 找到目标IPsec连接,然后单击下载配置
  4. 根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见本地网关配置

    下载配置中的RemoteSubnet和LocalSubnet与创建IPsec连接时的本端网段和对端网段正好是相反的。因为从阿里云VPN网关的角度看,对端是用户IDC的网段,本端是VPC网段;而从本地网关设备的角度看,LocalSubnet就是指本地IDC的网段,RemoteSubnet则是指阿里云VPC的网段。

步骤五:配置VPN网关路由

完成以下操作,配置IPsec-VPN网关路由。

  1. 在左侧导航栏,单击VPN > VPN网关
  2. VPN网关页面,选择VPN网关的地域。
  3. 找到目标VPN网关,单击实例ID/名称列下的实例ID。
  4. 目的路由表页签,单击添加路由条目
  5. 根据以下信息配置两条目的路由,然后单击确定
    • 目标网段:输入本地网关的私网网段。
    • 下一跳:选择IPsec连接实例。
    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表。
    • 权重:选择权重值。
      注意 通过设置不同的路由权重来区分主备路由,两条目的路由的权重不能同时设置为100,也不能同时设置为0。

    本示例目的路由如下表:

    目标网段 下一跳 发布到VPC 权重
    本地网关的私网网段 IPsec连接实例1 100
    本地网关的私网网段 IPsec连接实例2 0