本教程介绍如何组合使用VPN网关和云企业网,实现客户IDC上云,并构建高质量、低成本的跨国企业网络。

前提条件

开始操作前,请确保满足以下条件:
  • 创建了专有网络,并部署了相关应用。详细信息,请参见创建专有网络
  • 各办公点已经部署了本地网关设备,且配置了一个静态公网IP。
  • 创建了云企业网实例。详细信息,请参见创建云企业网实例
  • 购买了云企业网带宽包并设置了跨地域互通带宽。详细信息,请参见购买带宽包设置跨地域互通带宽
  • 需要互通的各网段不能冲突。

背景信息

背景信息图某跨国公司在美国硅谷和中国上海均有两个办公点,且该跨国公司在美国(硅谷)和华东2(上海)地域分别创建了VPC1和VPC2,并在两个VPC中部署了应用系统。因业务发展,需要美国硅谷的两个办公点、中国上海的两个办公点、VPC1、VPC2全互通。各网络的网段如下表。
网络 网段
美国(硅谷)办公点1 10.10.10.0/24
美国(硅谷)办公点2 10.10.20.0/24
美国(硅谷)VPC1 172.16.0.0/16
华东2(上海)办公点3 10.20.10.0/24
华东2(上海)办公点4 10.20.20.0/24
华东2(上海)VPC2 192.168.0.0/16
IPsec

如上图,您可以通过VPN网关1将美国硅谷的办公点1、办公点2与VPC1连接起来,VPN网关2将上海的办公点3、办公点4与VPC2连接起来,然后再将VPC1和VPC2加载到同一云企业网中,实现全球网络全互通。

配置流程图如下:配置流程图

步骤一:创建美国硅谷办公点的IPsec连接

完成以下操作,创建美国硅谷办公点的IPsec连接,将办公点1、办公点2与VPC1连接起来。

  1. 为美国(硅谷)地域的VPC创建一个VPN网关。
    VPN网关的参数如下:
    • 实例名称:VPN网关1。
    • 地域:美国(硅谷)。
    • VPC:选择美国(硅谷)地域的VPC。
    • 带宽规格:5Mbps。
    • IPsec-VPN:选择开启IPsec-VPN功能。
    • SSL-VPN:关闭SSL-VPN功能。

    详细信息,请参见创建VPN网关

  2. 创建两个用户网关,将办公点1、办公点2网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。
    办公点1用户网关的参数如下:
    • 名称:用户网关1。
    • IP地址:输入本地办公点1网关设备的静态公网IP地址,本示例输入1.1.1.1。
    办公点2用户网关的参数如下:
    • 名称:用户网关2。
    • IP地址:输入本地办公点2网关设备的静态公网IP地址,本示例输入2.2.2.2。

    详细信息,请参见创建用户网关

  3. 创建两个IPsec连接,将办公点1、办公点2网关设备与VPN网关连接起来。
    办公点1与VPN网关间的IPsec连接的配置如下:
    • 名称:IPsec连接1。
    • VPN网关:选择美国(硅谷)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关1。
    • 用户网关:选择待连接的用户网关,本示例选择用户网关1。
    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入172.16.0.0/16。
    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.10.10.0/24。
    • 立即生效:选择是否立即协商,本示例选择是。
      • :配置完成后立即进行协商。
      • :当有流量进入时进行协商。
    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456。

    其他选项使用默认配置。

    办公点2与VPN网关间的IPsec连接的配置如下:
    • 名称:IPsec连接2。
    • VPN网关:选择美国(硅谷)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关1。
    • 用户网关:选择待连接的用户网关,本示例选择用户网关2。
    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入172.16.0.0/16。
    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.10.20.0/24。
    • 立即生效:选择是否立即协商,本示例选择是。
      • :配置完成后立即进行协商。
      • :当有流量进入时进行协商。
    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入654321。

    其他选项使用默认配置。

    详细信息,请参见创建IPsec连接

  4. 在本地办公点1和办公点2网关设备中加载VPN配置。
    详细说明,请参见本地网关配置
  5. 配置VPN网关路由。
    VPN网关1指向办公点1的路由配置如下:
    • 目标网段:输入要访问的私网网段,本示例输入10.10.10.0/24。
    • 下一跳类型:选择IPsec连接。
    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接1。
    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
      • (推荐)是:将新添加的路由发布到VPC路由表。
      • 否:不发布新添加的路由到VPC路由表。
    • 权重:选择权重值,本示例选择0。
    VPN网关1指向办公点2的路由配置如下:
    • 目标网段:输入要访问的私网网段,本示例输入10.10.20.0/24。
    • 下一跳类型:选择IPsec连接。
    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接2。
    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
      • (推荐)是:将新添加的路由发布到VPC路由表。
      • 否:不发布新添加的路由到VPC路由表。
    • 权重:选择权重值,本示例选择0。
    美国硅谷办公点的IPsec连接后,办公点1、办公点2、VPN网关1、VPC1的路由表如下图。美国区路由表

步骤二:创建上海办公点的IPsec连接

完成以下操作,创建上海办公点的IPsec连接,将办公点3、办公点4与VPC2连接起来。

  1. 为华东2(上海)地域的VPC创建一个VPN网关。
    VPN网关的参数如下:
    • 实例名称:VPN网关2。
    • 地域:华东2(上海)。
    • VPC:选择华东2(上海)地域的VPC。
    • 带宽规格:5Mbps。
    • IPsec-VPN:选择开启IPsec-VPN功能。
    • SSL-VPN:关闭SSL-VPN功能。

    详细信息,请参见创建VPN网关

  2. 创建两个用户网关,将办公点3、办公点4网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。
    办公点3用户网关的参数如下:
    • 名称:用户网关3。
    • IP地址:输入本地办公点3网关设备的静态公网IP地址,本示例输入3.3.3.3。
    办公点4用户网关的参数如下:
    • 名称:用户网关4。
    • IP地址:输入本地办公点4网关设备的静态公网IP地址,本示例输入4.4.4.4。

    详细信息,请参见创建用户网关

  3. 创建两个IPsec连接,将办公点3、办公点4网关设备与VPN网关连接起来。
    办公点3与VPN网关间的IPsec连接的配置如下:
    • 名称:IPsec连接3。
    • VPN网关:选择华东2(上海)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关2。
    • 用户网关:选择待连接的用户网关,本示例选择用户网关3。
    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入192.168.0.0/16。
    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.20.10.0/24。
    • 立即生效:选择是否立即协商,本示例选择是。
      • :配置完成后立即进行协商。
      • :当有流量进入时进行协商。
    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456。

    其他选项使用默认配置。

    办公点4与VPN网关间的IPsec连接的配置如下:
    • 名称:IPsec连接4。
    • VPN网关:选择华东2(上海)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关2。
    • 用户网关:选择待连接的用户网关,本示例选择用户网关4。
    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入192.168.0.0/16。
    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.20.20.0/24。
    • 立即生效:选择是否立即协商,本示例选择是。
      • :配置完成后立即进行协商。
      • :当有流量进入时进行协商。
    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入654321。

    其他选项使用默认配置。

    详细信息,请参见创建IPsec连接

  4. 在本地办公点3和办公点4网关设备中加载VPN配置。
    详细说明,请参见本地网关配置
  5. 配置VPN网关路由。
    VPN网关2指向办公点3的路由配置如下:
    • 目标网段:输入要访问的私网网段,本示例输入10.20.10.0/24。
    • 下一跳类型:选择IPsec连接。
    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接3。
    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
      • (推荐)是:将新添加的路由发布到VPC路由表。
      • 否:不发布新添加的路由到VPC路由表。
    • 权重:选择权重值,本示例选择0。
    VPN网关2指向办公点4的路由配置如下:
    • 目标网段:输入要访问的私网网段,本示例输入10.20.20.0/24。
    • 下一跳类型:选择IPsec连接。
    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接4。
    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
      • (推荐)是:将新添加的路由发布到VPC路由表。
      • 否:不发布新添加的路由到VPC路由表。
    • 权重:选择权重值,本示例选择0。
    上海办公点的IPsec连接后,办公点3、办公点4、VPN网关2、VPC2的路由表如下图。上海区路由表

步骤三:加入云企业网

完成本地办公点上云后,您需要将要互通的VPC1和VPC2加入到同一个云企业网。

  1. 登录云企业网控制台
  2. 云企业网实例页面,单击已创建的CEN实例ID。
  3. 网络实例管理页签,单击加载网络实例
  4. 单击同账号页签。
  5. 根据以下信息加载网络实例,然后单击确定
    • 实例类型:选择专有网络(VPC)
    • 地域:选择美国(硅谷)
    • 网络实例:选择VPC1。
  6. 根据上述步骤将VPC2加入到同一CEN实例。

步骤四:在云企业网中宣告路由

为了能够让云企业网内其他VPC学习到指向本地办公点的路由,需要在美国(硅谷)VPC和华东2(上海)VPC将指向VPN网关的路由发布到云企业网。详细信息,请参见发布路由到云企业网

发布路由后,云企业网的路由表如下图。CEN路由表

步骤五:配置本地办公点路由

在CEN中宣告路由后,您需要在硅谷办公点网关设备配置指向上海办公点的路由,在上海办公点的网关设备配置指向硅谷办公点的路由。

示例仅供参考,不同厂商的设备可能会有所不同。
办公点 路由
办公点1
ip route 192.168.0.0/16 5.5.5.5
ip route 10.20.10.0/24 5.5.5.5
ip route 10.20.20.0/24 5.5.5.5
ip route 10.10.20.0/24 5.5.5.5   #5.5.5.5为VPN网关1的公网IP
办公点2
ip route 192.168.0.0/16 5.5.5.5
ip route 10.20.10.0/24 5.5.5.5
ip route 10.20.20.0/24 5.5.5.5
ip route 10.10.10.0/24 5.5.5.5   #5.5.5.5为VPN网关1的公网IP
办公点3
ip route 172.16.0.0/16 6.6.6.6
ip route 10.10.10.0/24 6.6.6.6
ip route 10.10.20.0/24 6.6.6.6
ip route 10.20.20.0/24 6.6.6.6   #6.6.6.6为VPN网关2的公网IP
办公点4
ip route 172.16.0.0/16 6.6.6.6
ip route 10.10.10.0/24 6.6.6.6
ip route 10.10.20.0/24 6.6.6.6
ip route 10.20.10.0/24 6.6.6.6   #6.6.6.6为VPN网关2的公网IP
本地办公点的路由表如下图。本地办公点的路由表

步骤六:测试连通性

本操作以在办公点1下的PC访问办公点2、办公点3、办公点4下的PC为例,测试本地各办公点间的连通性。

  1. 在本地办公点1下,打开PC端的cmd窗口。
  2. 执行ping命令,ping办公点2、办公点3、办公点4下的PC,如果能ping通,表示连接成功。