文档

高可用-双用户网关

更新时间:

您可以在本地部署两个CPE网关,VPN网关分别与两个用户网关建立IPsec VPN连接,以实现多VPN连接冗余。

方案概述

阿里云侧部署一个VPN网关,用户侧部署两个用户网关。

两个用户网关同时连接一个阿里云VPN网关,每个用户网关与VPN网关建立一条IPsec隧道,并为IPsec连接配置健康检查,两条IPsec隧道均为协商成功状态。当健康检查检测用户网关不可用时,路由自动切换到另外一个用户网关。

前提条件

在开始之前,确保您的环境满足以下条件:

  • 检查本地数据中心的网关设备。阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和云上VPN网关互连,例如华三、华为、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等厂商的设备。

  • 本地数据中心的网关已经配置了静态公网IP。

  • 本地数据中心的网段和VPC的网段不能重叠。

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关的地域。

    VPN网关的地域需和待关联的VPC实例的地域相同。

  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。

    配置项

    说明

    实例名称

    输入VPN网关实例的名称。

    本文输入VPN网关1

    地域和可用区

    选择VPN网关实例所属的地域。

    说明

    请确保VPN网关实例的地域和VPC实例的地域相同。

    网关类型

    选择VPN网关实例的类型。

    本文选择普通型

    网络类型

    选择VPN网关实例的网络类型。

    本文选择公网

    隧道

    系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。

    • 单隧道

    • 双隧道

    关于IPsec-VPN连接隧道模式的说明,请参见【升级公告】IPsec-VPN连接升级为双隧道模式

    VPC

    选择VPN网关实例关联的VPC实例。

    虚拟交换机

    从VPC实例中选择一个交换机实例。

    • IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。
    • IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。
    说明
    • 系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。
    • 创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机以及交换机所属可用区的信息。

    虚拟交换机2

    IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。

    带宽规格

    选择VPN网关实例的公网带宽峰值。单位:Mbps。

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。

    本文选择开启

    SSL-VPN

    选择开启或关闭SSL-VPN功能。

    本文选择关闭

    计费周期

    选择购买时长。

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    更多参数信息,请参见创建VPN网关实例

  5. 返回VPN网关页面,查看创建的VPN网关。

    刚创建好的VPN网关的状态是准备中,约1~5分钟左右会变成正常状态。正常状态表明VPN网关已经完成了初始化,可以正常使用。

步骤二:创建用户网关

完成以下操作,创建两个用户网关,将本地网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  2. 选择用户网关的地域。

  3. 用户网关页面,单击创建用户网关

  4. 创建用户网关面板,根据以下信息配置用户网关,然后单击确定

    • 名称:输入用户网关的名称。

    • IP地址:输入VPC要连接的本地数据中心网关设备的公网IP。

步骤三:创建IPsec连接

完成以下操作,创建两个IPsec连接,将VPN网关分别和两个用户网关连接起来,并开启健康检查。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  2. 选择IPsec连接的地域。

  3. IPsec连接页面,单击创建IPsec连接

  4. 根据以下信息配置IPsec连接,然后单击确定

    • 名称:输入IPsec连接的名称。

    • 绑定资源:选择IPsec连接绑定的资源。本文选择VPN网关

    • VPN网关:选择已创建的VPN网关。

    • 用户网关:选择已创建的用户网关。

    • 路由模式:选择路由模式。本文选择感兴趣流模式

    • 本端网段:输入已选VPN网关所属VPC的网段。

    • 对端网段:输入本地数据中心的网段。

    • 立即生效:选择是否立即协商。

      • 是:配置完成后立即进行协商。

      • 否:当有流量进入时进行协商。

    • 预共享密钥:输入共享密钥,该值必须与用于本地网关设备的值匹配。

    • 加密配置:本文使用IKEv1版本,其余配置项保持默认值。

    • 健康检查:开启健康检查并输入目的IP、源IP、重试间隔和重试次数。

      其他配置项使用默认配置,更多信息,请参见创建和管理IPsec连接(单隧道模式)

  5. 重复以上操作,创建与另一用户网关的IPsec连接。

步骤四:在本地网关设备中加载VPN配置

完成以下操作,分别在本地网关设备中加载VPN配置。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  2. 选择IPsec连接的地域。

  3. 找到目标IPsec连接,然后在操作列单击下载配置

  4. 根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见本地网关配置

    下载配置中的RemoteSubnet和LocalSubnet与创建IPsec连接时的本端网段和对端网段正好是相反的。因为从阿里云VPN网关的角度看,对端是用户IDC的网段,本端是VPC网段;而从本地网关设备的角度看,LocalSubnet就是指本地IDC的网段,RemoteSubnet则是指阿里云VPC的网段。

步骤五:配置VPN网关路由

完成以下操作,配置IPsec-VPN网关路由。

  1. 在左侧导航栏,单击网间互联 > VPN > VPN网关

  2. VPN网关页面,选择VPN网关的地域。

  3. 找到目标VPN网关,单击实例ID/名称列下的实例ID。

  4. 目的路由表页签,单击添加路由条目

  5. 根据以下信息配置两条目的路由,然后单击确定

    • 目标网段:输入本地网关的私网网段。

    • 下一跳类型:保持默认值IPsec连接

    • 下一跳:选择IPsec连接实例。

    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表。

    • 权重:选择权重值。

      重要

      通过设置不同的路由权重来区分主备路由,两条目的路由的权重不能同时设置为100,也不能同时设置为0。

    本示例目的路由如下表:

    目标网段

    下一跳

    发布到VPC

    权重

    本地网关的私网网段

    IPsec连接实例1

    100

    本地网关的私网网段

    IPsec连接实例2

    0

  • 本页导读 (1)
文档反馈