将IPsec连接绑定到转发路由器(TR)时,您无需在云上创建VPN网关,只需配置IPsec连接,即可实现TR与本地数据中心的网络互通。
功能说明
绑定TR的IPsec连接为双隧道模式
双活:两条隧道自动形成ECMP(Equal-Cost Multipath Routing)链路,同时传输流量,实现负载分担。
可用区容灾:两条隧道默认部署在不同可用区,提供跨可用区的容灾能力。对于仅支持一个可用区的地域,两条隧道会被部署在同一个可用区,不支持可用区级别的容灾,但依旧拥有链路冗余能力。
流量传输说明
出云流量:两条隧道均可用时组成 ECMP链路,流量基于哈希算法分配,不保证在两条隧道间均匀分布。当一条隧道故障时,系统自动将流量切换至另一条隧道。
入云流量:取决于本地数据中心的路由配置。建议配置 ECMP 路由,使流量同时通过两条隧道传输至云上,以保持与出云方向的路径对称。 若本地数据中心配置了主备路由或仅通过单条隧道传输特定网段流量,可能因路径不对称导致回程流量无法按预期路径到达本地数据中心。
路由配置原则
推荐使用 BGP 动态路由。 若使用静态路由,需确保本地网关支持静态 ECMP,否则本地→云方向无法 ECMP 负载分担,导致上下行路径不对称。
两条隧道应使用相同的路由协议(同为 BGP 或同为静态路由)。
使用 BGP 时,两条隧道的本端 AS 号必须相同,对端 AS 号建议也保持相同。
创建IPsec连接
操作之前,请确保:
控制台
前往VPN控制台IPsec连接页面,单击绑定云企业网,完成以下配置:
IPsec连接名称:建议命名保持一致性和可读性,例如使用
{project}-{env}-{type}方式。地域:选择目标转发路由器所在地域。
网关类型:
公网(默认值):表示通过公网建立IPsec-VPN连接。
私网:表示基于私网建立IPsec-VPN连接,实现私网流量的加密通信。具体应用场景,详见加密物理专线私网流量。
绑定云企业网:
云企业网实例ID:选择TR所在的云企业网实例。
仅当绑定云企业网选择本账号绑定时,需要配置该项。
路由模式:
目的路由模式(默认值):匹配“目的IP地址”转发流量,适用于简单场景。
感兴趣流模式:匹配“源IP地址”和“目的 IP 地址”转发流量,只有匹配成功的流量才会进入VPN隧道传输。
选择此模式后,需配置本端网段(VPC 内需要通信的网段)和对端网段(本地数据中心需要通信的网段)。
IPsec连接配置完成后,系统会自动生成策略路由:源网段为IPsec连接本端网段,目标网段为IPsec连接对端网段,下一跳指向IPsec连接,可选发布到VPC路由表(默认不发布)。
在本地网关设备配置感兴趣流时,应确保所用网段与阿里云端保持一致,并将两端网段对调。
可通过单击文本框右侧的
图标添加多个网段,配置多个网段时,后续IKE协议的版本需要选择ikev2。
立即生效:创建IPsec连接时请选择是。后续修改IPsec连接时:
是:系统会立刻断开当前 IPsec 隧道,用新的参数重新发起 IKE 协商,重建隧道。这会导致短暂的流量中断。
否:新配置不会马上应用,而是等到下一次 SA(Security Association)生命周期到期重新协商时才使用新参数。在此之前,隧道继续使用旧配置运行。
高级配置(包含自动关联路由表、配置转发路由等配置):建议全部勾选。
BGP相关配置:请查看开启/关闭BGP。
隧道相关配置:请查看隧道及加密配置,了解隧道 1(主)和隧道 2(备)中相关参数的配置说明。
API
后续步骤
为实现云上VPC与云下IDC互通,IPsec连接创建完成后您还需要:
开启/关闭BGP
在为IPsec连接开启BGP功能前,请确保关联的用户网关实例已经配置了云下的自治系统号。
与IPsec连接相关的BGP配置项:
本端自治系统号:启用BGP后,阿里云侧的ASN号。两条隧道使用相同的自治系统号,默认值:45104,取值范围:1~4294967295。对端云下设备配置自治系统号时,建议使用私有 ASN 号。
隧道网段:用于 BGP 邻居建立连接的互联地址段。一个VPN网关实例下,每个隧道的网段需保持唯一。需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
本端BGP地址:阿里云侧的 BGP IP,必须属于隧道网段。例如,在
169.254.10.0/30网段中,可使用169.254.10.1。
关于BGP路由功能支持状态、路由宣告原则、使用限制,请查看配置BGP动态路由。
控制台
开启BGP
创建IPsec连接时:
在双隧道配置区域启用BGP,并配置本端自治系统号。
在每条隧道的BGP配置中,输入隧道网段、本端BGP地址。
针对已创建的IPsec连接,可在IPsec连接实例详情页面的IPsec连接基本信息区域启用BGP。
需确保用户网关实例已配置自治系统号,否则您需要新创建用户网关,并在每条隧道的操作列单击编辑重新关联用户网关。
关闭BGP
在IPsec连接实例详情页面的IPsec连接基本信息区域,关闭BGP配置。
API
新创建IPsec连接时,调整CreateVpnConnection的EnableTunnelsBgp参数开启BGP,并调整TunnelOptionsSpecification -> TunnelBgpConfig 参数来配置每个隧道的BGP选项。
针对已创建的IPsec连接,调整ModifyVpnConnectionAttribute的EnableTunnelsBgp参数开启/关闭BGP,通过调整TunnelOptionsSpecification -> TunnelBgpConfig 参数来配置每个隧道的BGP选项。
隧道及加密配置
创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力。
创建或编辑IPsec连接时,需要配置隧道相关参数,分为3部分:
隧道基本配置:
用户网关:选择代表您本地网关设备的用户网关实例。两条隧道可以关联同一个用户网关。
预共享密钥:用于身份认证的密钥,两条隧道的密钥必须与本地网关设备上的配置完全一致。若不填则由系统随机生成。
加密配置:
IKE配置(Phase1 第一阶段加密配置)
配置项
说明
版本
推荐使用ikev2。IKEv2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持。
协商模式
main(默认值):主模式。此模式加密传输身份信息,协商过程安全性比aggressive高。
aggressive:野蛮模式,协商快速且协商成功率高。
协商成功后两种模式的信息传输安全性相同。
加密算法
第一阶段协商使用的加密算法。
支持AES128、AES192、AES256、DES、3DES(不推荐)。
认证算法
第一阶段协商使用的认证算法。
支持sha1(默认值)、md5、sha256、sha384和sha512。
在部分本地网关设备上添加VPN配置时,可能需要指定PRF算法,PRF算法与IKE阶段认证算法保持一致即可。
DH分组(完美向前加密 PFS)
选择第一阶段协商的Diffie-Hellman密钥交换算法。
disabled:表示不使用DH密钥交换算法。
对于不支持PFS的客户端请选择disabled。
如果选择为非disabled的任何一个组,会默认开启完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
group1/2/5/14 :DH分组数字越大安全性越高,但也会更耗费性能。
SA生存周期(秒)
设置第一阶段协商出的SA(Security Association,安全关联)的生存周期。默认值:86400。取值范围:0~86400。
LocalId
隧道本端的标识符。默认使用隧道的IP地址作为隧道本端标识符。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识阿里云,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为隧道本端的标识。
如果LocalId使用了FQDN格式,例如输入example.aliyun.com,则本地网关设备上IPsec连接的对端ID需与LocalId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
RemoteId
隧道对端的标识符。默认值使用隧道关联的用户网关中的IP地址作为隧道对端标识符。
该参数仅作为标识符用于在IPsec-VPN连接协商中标识本地网关设备,无其他作用。支持使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推荐使用私网IP地址作为隧道对端的标识。
如果RemoteId使用了FQDN格式,例如输入example.aliyun.com,则本地网关设备上IPsec连接的本端ID需与RemoteId的值保持一致,协商模式建议选择为aggressive(野蛮模式)。
IPsec配置(Phase2 第二阶段加密配置)
设置第二阶段协商的相关配置:
加密算法、认证算法、DH分组(完美向前加密 PFS)、SA生存周期(秒):可直接参考第一阶段IKE配置中对应的选项说明。
DPD:建议保持默认开启。检测对端设备是否存活,超时(30秒)后删除SA并自动重新协商。
NAT穿越:建议保持默认开启。开启后,隧道协商时自动检测路径中是否存在NAT设备,若存在则自动添加UDP4500封装;且数据传输时跳过UDP端口号验证,确保被NAT改写过端口的报文仍能被正确接收。
BGP配置:开启BGP后才会有此选项,详见开启/关闭BGP。
管理IPsec连接
修改隧道配置
控制台
单击目标IPsec连接实例ID进入详情页,在目标隧道的操作列单击编辑修改隧道配置。
每个配置项的说明,详见隧道及加密配置。
创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力。
API
调用ModifyTunnelAttribute修改隧道配置。
修改IPsec连接
如果IPsec连接已绑定转发路由器实例,不支持修改IPsec连接关联的转发路由器实例和网关类型,支持修改IPsec连接的路由模式以及立即生效的值。
如果IPsec连接当前未绑定转发路由器,不支持修改IPsec连接的网关类型,支持修改IPsec连接的路由模式以及立即生效的值。
控制台
API
调用ModifyVpnConnectionAttribute修改IPsec连接的配置。
删除IPsec连接
删除IPsec连接前,请确保IPsec连接已经和转发路由器实例解绑。
控制台
前往VPC控制台IPsec连接页面,切换到目标地域并在目标IPsec连接的操作列单击删除。
API
调用DeleteVpnAttachment删除IPsec连接。
将IPsec连接授权给跨账号的TR
控制台
单击目标IPsec连接实例ID进入详情页。
切换到云企业网跨账号授权页签,单击云企业网跨账号授权,在弹出的在加入云企业网对话框进行配置:
对方账号UID:填入对方账号的阿里云账号(主账号)ID。
将鼠标悬浮到控制台右上角的头像获取:
若当前登录的是主账号:
若当前登录的是RAM用户:
对方云企业网实例ID:填入对方账号中TR所在的云企业网实例ID。
资费承担方式:
云企业网用户承担资费:对方支付VPN连接的TR连接费和TR流量处理费。
VPN用户承担资费:本账号支付VPN连接的TR连接费和TR流量处理费。
授权成功后,还需要在对方账号中创建跨账号类型的VPN连接,才能完成最终绑定。
API
登录TR所在账号:
调用GrantInstanceToTransitRouter,将IPsec连接授权给TR。
调用CreateTransitRouterVpnAttachment,创建VPN连接。
附录:单隧道模式(仅存量)
对于存量的绑定TR的单隧道 IPsec 连接,强烈建议将其删除并重新创建,以启用双隧道模式。
单隧道模式的操作步骤与双隧道模式类似,主要差异:
与双隧道模式不同,单隧道模式的所有配置项均在连接级别直接编辑,无独立的隧道配置层级。
单隧道模式支持健康检查功能,系统默认关闭。健康检查在非主备场景下不推荐开启。如需配置,请在本地数据中心侧添加一条目标网段为源IP、子网掩码为32位、下一跳指向IPsec连接的路由条目,以确保健康检查正常工作。
配置项
说明
目标IP
阿里云侧通过IPsec连接可访问的本地数据中心IP地址。需支持ICMP应答。
源IP
本地数据中心通过IPsec连接可访问的阿里云侧IP地址。
重试间隔
健康检查重试间隔。单位:秒。默认值:3。
重试次数
健康检查重试次数。默认值:3。
切换路由
健康检查失败后是否撤销已发布的路由。默认值:是。