本文为您介绍如何组合使用IPsec-VPN和物理专线,实现本地数据中心IDC(Internet Data Center)通过主备链路上云并和云上专有网络VPC(Virtual Private Cloud)互通。

方案概述

在企业上云过程中,一些企业的IDC数据、云上业务数据会统一汇聚到阿里云大数据平台,通过云计算能力进行数据挖掘、分析、开发数据应用。在此场景下,企业至阿里云通常是入向流量大于出向流量,业务交互也比较频繁,企业会需要一条高可靠、高弹性的上云链路。

针对上述网络诉求,阿里云为您提供以下两种解决方案:

在上述方案中,本地IDC与VPC通过物理专线连接,作为上云的主链路,保障日常数据交互的可靠性。VPN网关或智能接入网关SAG(Smart Access Gateway)作为备用链路,解决网络弹性连接的诉求。
  • 当物理专线正常时,本地IDC与VPC之间的所有流量只通过物理专线进行转发。
  • 当物理专线异常时,本地IDC与VPC之间的所有流量将切换至VPN链路或SAG链路进行转发。

场景说明

本文以下图场景为例,为您介绍IPsec-VPN联合物理专线实现主备链路上云方案。某企业在杭州拥有一个本地IDC,且企业已经在阿里云华东1(杭州)地域创建了一个VPC,其中已通过云服务器ECS(Elastic Compute Service)等云产品部署了应用业务和数据分析服务,用于后续业务交互和数据分析。企业现在需要部署上云的主备链路,以实现云下IDC和云上VPC的互联互通。

VPN和专线备份

准备工作

在您开始操作前,请确保您已经满足以下条件:
  • 您已经在阿里云华东1(杭州)创建了VPC1和VPC2。其中,VPC1部署有应用业务和数据分析服务;VPC2暂不部署业务,仅关联VPN网关,作为中转VPC为云下和云上搭建VPN链路。具体操作,请参见使用专有网络
  • 请检查本地IDC网关设备,确保网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。例如华为、华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等厂商的设备。

    本文示例中,本地IDC网关设备用于连接物理专线同时也作为VPN连接中的用户网关。

  • 您本地IDC的网关设备已经配置了静态公网IP。
  • 本文示例中,网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。
    配置目标 网段规划 IP地址
    VPC1 192.168.0.0/16 云服务器地址:192.168.20.161
    VPC2 10.0.0.0/16 不涉及
    VBR
    • VLAN:0
    • 阿里云侧IPv4互联IP:10.1.0.1/30
    • 客户侧IPv4互联IP:10.1.0.2/30
    不涉及
    本地IDC 172.16.0.0/16 客户端地址:172.16.1.188
    本地IDC的网关设备 不涉及 公网IP地址:211.XX.XX.68

配置流程

VPN和专线步骤

步骤一:部署物理专线

  1. 创建物理专线。
    您需要在华东1(杭州)地域申请一条物理专线。具体操作,请参见创建独享专线连接创建共享专线连接
  2. 创建VBR。
    边界路由器VBR(Virtual border router)是本地IDC网关设备和阿里云接入点连接的一个路由器,作为数据从本地IDC到阿里云机房之间的桥梁。物理专线的一端连接到您本地IDC的网关设备,另一端连接到边界路由器。
    1. 登录高速通道管理控制台
    2. 在左侧导航栏,单击边界路由器(VBR)
    3. 在顶部状态栏,选择要创建的VBR的地域。
      本示例选择华东1(杭州)地域。
    4. 边界路由器(VBR)页面,单击创建边界路由器
    5. 创建边界路由器面板,根据以下信息进行配置,然后单击确定
      • 账号类型:本示例选择当前账号
      • 名称:本示例输入VBR。
      • 物理专线接口:选择已申请的物理专线接口。
      • VLANID:0。
      • 阿里云侧互联IP:10.1.0.1。
      • 客户侧互联IP:10.1.0.2。
      • 子网掩码:255.255.255.252。
  3. 配置VBR路由。
    您需要在VBR上配置去往本地IDC的路由。
    1. 边界路由器(VBR)页面,单击目标VBR实例ID。
    2. 单击路由条目页签,然后单击添加路由条目
    3. 添加路由条目面板,根据以下信息配置路由条目,然后单击确定
      • 下一跳类型:选择物理专线接口
      • 目标网段:输入本地IDC的网段。本示例输入172.16.0.0/16。
      • 下一跳:选择已创建的物理专线接口。

步骤二:部署VPN网关

  1. 创建VPN网关。
    1. 登录VPN网关管理控制台
    2. 在左侧导航栏,单击VPN > VPN网关
    3. VPN网关页面,单击创建VPN网关
    4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
      • 实例名称:输入VPN网关的实例名称。
      • 地域和可用区:选择VPN网关的地域。

        本示例中将VPN网关关联到VPC2上,确保VPC2和VPN网关的地域相同。本示例选择华东1(杭州)

      • 网关类型:选择要创建的VPN网关类型。本示例选择普通型
      • VPC: 选择要连接的VPC。本示例选择VPC2。
      • 指定交换机:是否指定VPN网关创建在VPC中的某一个交换机下。本示例选择

        如果您选择了,您还需要指定具体的虚拟交换机

      • 带宽规格:选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。
      • IPsec-VPN: 选择开启或关闭IPsec-VPN功能,IPsec-VPN功能可以将本地IDC与VPC或不同的VPC之间进行连接。本示例选择开启
      • SSL-VPN: 选择开启或关闭SSL-VPN功能,SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。本示例选择关闭
      • SSL连接数: 选择您需要同时连接的客户端最大规格。
        说明 本选项只有在选择开启了SSL-VPN功能后才可配置。
      • 计费周期:选择购买时长。
    5. 返回VPN网关页面,查看创建的VPN网关并记录VPN网关公网IP地址,用于后续本地IDC侧路由配置。
      刚创建好的VPN网关的状态是准备中,约两分钟左右会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用了。
      说明 VPN网关的创建一般需要1~5分钟。
  2. 创建用户网关。
    1. 在左侧导航栏,选择VPN > 用户网关
    2. 用户网关页面,单击创建用户网关
    3. 创建用户网关面板,根据以下信息配置用户网关,然后单击确定
      • 名称:输入用户网关的名称。
      • IP地址:输入VPC2要连接的本地IDC的网关设备的公网IP。本示例输入211.XX.XX.68。
      • 自治系统号:输入VPC要连接的本地IDC的网关设备的自治系统号。本示例不输入。
      • 描述:输入用户网关的描述信息。
      更多信息,请参见创建用户网关
  3. 创建IPsec连接。
    1. 在左侧导航栏,选择VPN > IPsec连接
    2. IPsec连接页面,单击创建IPsec连接
    3. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
      • 名称:输入IPsec连接的名称。
      • VPN网关:选择已创建的VPN网关。
      • 用户网关:选择已创建的用户网关。
      • 路由模式:选择路由模式。本示例选择目的路由模式
        • 目的路由模式:基于目的IP进行路由转发。

          您在创建IPsec连接后,需要在VPN网关目的路由表中添加目的路由。具体操作,请参见添加目的路由

        • 感兴趣流模式:基于源IP和目的IP进行精确的路由转发。

          您在创建IPsec连接时,如果您选择了感兴趣流模式,您需要配置本端网段对端网段。配置完成后,系统自动在VPN网关策略路由表中添加策略路由。

          系统在VPN网关策略路由表中添加策略路由后,路由默认是未发布状态,您需要在策略路由表中手动将路由发布至VPC中。

      • 立即生效:选择是否立即生效。本示例选择
        • :配置完成后立即进行协商。
        • :当有流量进入时进行协商。
      • 预共享密钥:输入共享密钥,该值必须与本地IDC网关设备的预共享密钥一致。本示例使用默认生成的随机值。

        其他选项使用默认配置。

      更多信息,请参见创建IPsec连接
  4. 配置VPN网关路由。
    您需要在VPN网关中将本地IDC的路由发布到VPC2中。
    1. IPsec连接创建成功后,在创建成功对话框,单击确定,去往VPN网关实例中进行路由发布。
    2. 在左侧导航栏,选择VPN > VPN网关
    3. VPN网关页面,找到目标VPN网关,单击目标实例ID。
    4. 目的路由表页签,单击添加路由条目
    5. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定
      • 目标网段:输入本地IDC的网段。本示例输入172.16.0.0/16。
      • 下一跳类型:选择IPsec连接
      • 下一跳:选择已创建的IPsec连接实例。
      • 发布到VPC:选择是否将新添加的路由发布到VPC路由表。本示例选择
      • 权重:选择权重值。本示例选择100
  5. 在本地IDC网关设备中加载VPN配置。
    1. 在左侧导航栏,选择VPN > IPsec连接
    2. IPsec连接页面,找到目标IPsec连接,然后选择操作列下的更多 > 下载对端配置
    3. 根据本地IDC网关设备的配置要求,将下载的配置添加到本地IDC网关设备中。具体操作,请参见本地网关配置
      下载配置中的RemotSubnet和LocalSubnet与创建IPsec连接时的本端网段和对端网段是相反的。因为从阿里云VPN网关的角度看,对端是IDC的网段,本端是VPC网段;而从本地IDC网关设备的角度看,LocalSubnet就是指本地IDC的网段,RemotSubnet则是指阿里云VPC的网段。

步骤三:配置云企业网

物理专线和VPN网关配置完成后,您需要将VPC1、VPC2和VBR加入到云企业网中,云企业网可帮您实现本地IDC和VPC间的互连互通。

  1. 创建云企业网实例。具体操作,请参见创建云企业网实例
    在您创建云企业网实例过程中,您需要加载一个网络实例,您从已创建的VPC或VBR实例中,选择一个即可。
  2. 云企业网加载网络实例。具体操作,请参见加载网络实例
    本示例中需要将华东1(杭州)地域的VBR、VPC1、VPC2实例加载到同一云企业网中。加入后,VBR、VPC1、VPC2的路由条目会自动发布到云企业网中,VBR、VPC1、VPC2也能从云企业网中学习到其它实例的路由。
  3. 在VPC2中发布本地IDC的路由到云企业网。
    您在VPN网关中将本地IDC路由发布到VPC2中后,VPC2中的本地IDC路由默认是未发布状态。您需要在VPC2的自定义路由表中,手动发布本地IDC路由到云企业网中,以便VPC1也能从VPC2学习到本地IDC的路由。具体操作,请参见发布路由到云企业网
    • 云企业网中本地IDC路由条目如下表所示:
      目标网段 状态 下一跳
      172.16.0.0/16 可用 VBR
      172.16.0.0/16 Candidate VPC2
    • VPC1中本地IDC路由条目如下表所示:
      目标网段 状态 下一跳
      172.16.0.0/16 可用 VBR
  4. 为物理专线配置健康检查。
    您需要为物理专线配置健康检查,健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会主动将流量切换到VPN链路。
    1. 登录云企业网管理控制台
    2. 在左侧导航栏,单击健康检查
    3. 选择VBR的地域,然后单击设置健康检查
    4. 设置健康检查面板,根据以下信息配置健康检查,然后单击确定
      • 云企业网实例:选择VBR加载的云企业网实例。
      • 边界路由器(VBR):选择要监控的VBR实例。
      • 源IP:本示例选择自动生成源IP

        使用自动生成源IP,系统将自动分配100.96.0.0/16地址段内IP地址,探测链路的连通性。

      • 目标IP:输入VBR实例中客户侧IP地址。
      • 发包时间间隔(秒):指定健康检查时发送连续探测报文的时间间隔。单位:秒。本示例使用默认值。
      • 探测报文个数(个):指定健康检查时发送探测报文的个数。单位:个。本示例使用默认值。
      更多信息,请参见设置健康检查

步骤四:配置本地IDC网关设备

您需要在本地IDC网关设备上配置去往VPC1的主备路由和健康检查报文的回程路由。当物理专线异常时,设备主动将流量切换到VPN线路。

以下配置示例仅供参考。不同厂商的设备,配置命令可能会有所不同。具体命令,请咨询相关设备厂商。

#配置去往VPC1的主备路由
ip route 192.168.0.0/16 10.1.0.1 preference 10
ip route 192.168.0.0/16 <VPN网关公网IP地址> preference 20

#配置健康检查探测报文的回程路由
ip route 100.96.0.0 255.255.0.0 10.1.0.1  
            

步骤五:连通性测试

完成以下操作,测试网络的连通性:
说明 在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许本地IDC访问VPC中的ECS实例。具体操作,请参见查询安全组规则
  1. 在本地IDC下,打开客户端的命令行窗口。
  2. 执行ping命令,ping云上VPC1 192.168.0.0/16网段下的ECS实例IP地址,如果接收到回复报文,则表示连接成功。
    经验证,本地IDC和VPC1可以正常通信。专线静态主备-ping
  3. 在本地IDC网关设备上,关闭物理专线端口,切断物理专线链接。再次执行ping命令,测试本地IDC和VPC1的连通性。
    经验证,本地IDC和VPC1仍可以正常通信。专线静态主备-ping