文档

IPsec-VPN配合云企业网搭建高速全球网络

更新时间:

本教程介绍如何组合使用VPN网关和云企业网,实现客户IDC上云,并构建高质量、低成本的跨国企业网络。

前提条件

开始操作前,请确保满足以下条件:

  • 创建了专有网络,并部署了相关应用。具体操作,请参见创建和管理专有网络

  • 各办公点已经部署了本地网关设备,且配置了一个静态公网IP。

  • 创建了云企业网实例。具体操作,请参见创建云企业网实例

  • 购买了云企业网带宽包并设置了跨地域互通带宽。具体操作,请参见使用带宽包跨地域互通带宽

  • 需要互通的各网段不能冲突。

背景信息

背景信息图某跨国公司在美国硅谷和中国上海均有两个办公点,且该跨国公司在美国(硅谷)和华东2(上海)地域分别创建了VPC1和VPC2,并在两个VPC中部署了应用系统。因业务发展,需要美国硅谷的两个办公点、中国上海的两个办公点、VPC1、VPC2全互通。各网络的网段如下表。

网络

网段

美国(硅谷)办公点1

10.10.10.0/24

美国(硅谷)办公点2

10.10.20.0/24

美国(硅谷)VPC1

172.16.0.0/16

华东2(上海)办公点3

10.20.10.0/24

华东2(上海)办公点4

10.20.20.0/24

华东2(上海)VPC2

192.168.0.0/16

IPsec

如上图,您可以通过VPN网关1将美国硅谷的办公点1、办公点2与VPC1连接起来,通过VPN网关2将上海的办公点3、办公点4与VPC2连接起来,然后再将VPC1和VPC2加载到同一云企业网中,实现全球网络全互通。

配置流程

配置流程图

步骤一:创建美国硅谷办公点的IPsec连接

完成以下操作,创建美国硅谷办公点的IPsec连接,将办公点1、办公点2与VPC1连接起来。

  1. 为美国(硅谷)地域的VPC创建一个VPN网关。

    VPN网关的参数如下:

    • 实例名称VPN网关1

    • 地域和可用区美国(硅谷)

    • 网关类型普通型

    • VPC:选择美国(硅谷)地域的VPC。

    • 指定交换机

    • 带宽规格5Mbps

    • IPsec-VPN开启

    • SSL-VPN关闭

    • 计费周期1个月

    • 服务关联角色:单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

      说明

      VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

      若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    具体操作,请参见创建和管理VPN网关实例

  2. 创建两个用户网关,将办公点1、办公点2网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。

    办公点1用户网关的参数如下:

    • 名称用户网关1

    • IP地址:输入本地办公点1网关设备的静态公网IP地址,本示例输入1.1.XX.XX

    办公点2用户网关的参数如下:

    • 名称用户网关2

    • IP地址:输入本地办公点2网关设备的静态公网IP地址,本示例输入2.2.XX.XX

    具体操作,请参见创建用户网关

  3. 创建两个IPsec连接,将办公点1、办公点2网关设备与VPN网关连接起来。

    办公点1与VPN网关间的IPsec连接的配置如下:

    • 名称IPsec连接1

    • VPN网关:选择美国(硅谷)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关1。

    • 用户网关:选择待连接的用户网关,本示例选择用户网关1。

    • 路由模式:选择感兴趣流模式

    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入172.16.0.0/16

    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.10.10.0/24

    • 立即生效:选择是否立即协商,本示例选择

      • :配置完成后立即进行协商。

      • :当有流量进入时进行协商。

    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456

    其他选项使用默认配置。

    办公点2与VPN网关间的IPsec连接的配置如下:

    • 名称IPsec连接2

    • VPN网关:选择美国(硅谷)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关1。

    • 用户网关:选择待连接的用户网关,本示例选择用户网关2。

    • 路由模式:选择感兴趣流模式

    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入172.16.0.0/16

    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.10.20.0/24

    • 立即生效:选择是否立即协商,本示例选择

      • :配置完成后立即进行协商。

      • :当有流量进入时进行协商。

    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456

    其他选项使用默认配置。

    具体操作,请参见创建和管理IPsec连接(单隧道模式)

  4. 在本地办公点1和办公点2网关设备中加载VPN配置。

    具体操作,请参见本地网关配置

  5. 配置VPN网关路由。

    VPN网关1指向办公点1的路由配置如下:

    • 目标网段:输入要访问的私网网段,本示例输入10.10.10.0/24

    • 下一跳类型:选择IPsec连接。

    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接1。

    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择

      • (推荐):将新添加的路由发布到VPC路由表。

      • :不发布新添加的路由到VPC路由表。

    • 权重:选择权重值,本示例选择0

    VPN网关1指向办公点2的路由配置如下:

    • 目标网段:输入要访问的私网网段,本示例输入10.10.20.0/24

    • 下一跳类型:选择IPsec连接。

    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接2。

    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择

      • (推荐):将新添加的路由发布到VPC路由表。

      • :不发布新添加的路由到VPC路由表。

    • 权重:选择权重值,本示例选择0

    美国硅谷办公点的IPsec连接后,办公点1、办公点2、VPN网关1、VPC1的路由表如下图。美国区路由表

步骤二:创建上海办公点的IPsec连接

完成以下操作,创建上海办公点的IPsec连接,将办公点3、办公点4与VPC2连接起来。

  1. 为华东2(上海)地域的VPC创建一个VPN网关。

    VPN网关的参数如下:

    • 实例名称VPN网关2

    • 地域和可用区美国(硅谷)

    • 网关类型普通型

    • VPC:选择美国(硅谷)地域的VPC。

    • 指定交换机

    • 带宽规格5Mbps

    • IPsec-VPN开启

    • SSL-VPN关闭

    • 计费周期1个月

    • 服务关联角色:单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

      说明

      VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

      若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    具体操作,请参见创建和管理VPN网关实例

  2. 创建两个用户网关,将办公点3、办公点4网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。

    办公点3用户网关的参数如下:

    • 名称用户网关3

    • IP地址:输入本地办公点3网关设备的静态公网IP地址,本示例输入3.3.XX.XX。

    办公点4用户网关的参数如下:

    • 名称用户网关4

    • IP地址:输入本地办公点4网关设备的静态公网IP地址,本示例输入4.4.XX.XX。

    具体操作,请参见创建用户网关

  3. 创建两个IPsec连接,将办公点3、办公点4网关设备与VPN网关连接起来。

    办公点3与VPN网关间的IPsec连接的配置如下:

    • 名称IPsec连接3

    • VPN网关:选择华东2(上海)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关2。

    • 用户网关:选择待连接的用户网关,本示例选择用户网关3。

    • 路由模式:选择感兴趣流模式

    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入192.168.0.0/16

    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.20.10.0/24

    • 立即生效:选择是否立即协商,本示例选择

      • :配置完成后立即进行协商。

      • :当有流量进入时进行协商。

    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456

    其他选项使用默认配置。

    办公点4与VPN网关间的IPsec连接的配置如下:

    • 名称IPsec连接4

    • VPN网关:选择华东2(上海)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关2。

    • 用户网关:选择待连接的用户网关,本示例选择用户网关4。

    • 路由模式:选择感兴趣流模式

    • 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入192.168.0.0/16

    • 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.20.20.0/24

    • 立即生效:选择是否立即协商,本示例选择

      • :配置完成后立即进行协商。

      • :当有流量进入时进行协商。

    • 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入654321

    其他选项使用默认配置。

    具体操作,请参见创建和管理IPsec连接(单隧道模式)

  4. 在本地办公点3和办公点4网关设备中加载VPN配置。

    具体操作,请参见本地网关配置

  5. 配置VPN网关路由。

    VPN网关2指向办公点3的路由配置如下:

    • 目标网段:输入要访问的私网网段,本示例输入10.20.10.0/24

    • 下一跳类型:选择IPsec连接。

    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接3。

    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择

      • (推荐):将新添加的路由发布到VPC路由表。

      • :不发布新添加的路由到VPC路由表。

    • 权重:选择权重值,本示例选择0

    VPN网关2指向办公点4的路由配置如下:

    • 目标网段:输入要访问的私网网段,本示例输入10.20.20.0/24

    • 下一跳类型:选择IPsec连接。

    • 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接4。

    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择

      • (推荐):将新添加的路由发布到VPC路由表。

      • :不发布新添加的路由到VPC路由表。

    • 权重:选择权重值,本示例选择0

    上海办公点的IPsec连接后,办公点3、办公点4、VPN网关2、VPC2的路由表如下图。上海区路由表

步骤三:加入云企业网

完成本地办公点上云后,您需要将要互通的VPC1和VPC2加入到同一个云企业网。

说明

本教程使用云企业网的旧版控制台。关于如何进入旧版控制台,请参见旧版控制台使用说明

  1. 登录云企业网控制台

  2. 云企业网实例页面,单击已创建的CEN实例ID。

  3. 网络实例管理页签,单击加载网络实例

  4. 单击同账号页签。

  5. 根据以下信息加载网络实例,然后单击确定

    • 实例类型:选择专有网络(VPC)

    • 地域:选择美国(硅谷)

    • 网络实例:选择VPC1。

  6. 根据上述步骤将VPC2加入到同一CEN实例。

步骤四:在云企业网中宣告路由

为了能够让云企业网内其他VPC学习到指向本地办公点的路由,需要在美国(硅谷)VPC和华东2(上海)VPC将指向VPN网关的路由发布到云企业网。具体操作,请参见发布路由至云企业网

发布路由后,云企业网的路由表如下图。CEN路由表

步骤五:配置本地办公点路由

在CEN中宣告路由后,您需要在硅谷办公点网关设备配置指向上海办公点的路由,在上海办公点的网关设备配置指向硅谷办公点的路由。

示例仅供参考,不同厂商的设备可能会有所不同。

办公点

路由

办公点1

ip route 192.168.0.0/16 5.5.XX.XX
ip route 10.20.10.0/24 5.5.XX.XX
ip route 10.20.20.0/24 5.5.XX.XX
ip route 10.10.20.0/24 5.5.XX.XX   #5.5.XX.XX为VPN网关1的公网IP

办公点2

ip route 192.168.0.0/16 5.5.XX.XX
ip route 10.20.10.0/24 5.5.XX.XX
ip route 10.20.20.0/24 5.5.XX.XX
ip route 10.10.10.0/24 5.5.XX.XX   #5.5.XX.XX为VPN网关1的公网IP

办公点3

ip route 172.16.0.0/16 6.6.XX.XX
ip route 10.10.10.0/24 6.6.XX.XX
ip route 10.10.20.0/24 6.6.XX.XX
ip route 10.20.20.0/24 6.6.XX.XX   #6.6.XX.XX为VPN网关2的公网IP

办公点4

ip route 172.16.0.0/16 6.6.XX.XX
ip route 10.10.10.0/24 6.6.XX.XX
ip route 10.10.20.0/24 6.6.XX.XX
ip route 10.20.10.0/24 6.6.XX.XX   #6.6.XX.XX为VPN网关2的公网IP

本地办公点的路由表如下图。本地办公点的路由表

步骤六:测试连通性

本操作以在办公点1下的客户端访问办公点2、办公点3、办公点4下的客户端为例,测试本地各办公点间的连通性。

  1. 在本地办公点1下,打开客户端的命令行窗口。

  2. 执行ping命令,ping办公点2、办公点3、办公点4下客户端的IP地址,如果收到回复报文,表示连接成功。

  • 本页导读 (1)
文档反馈