本文介绍如何在本地数据中心IDC(Internet Data Center)和专有网络VPC(Virtual Private Cloud)之间建立多条公网IPsec-VPN连接,通过ECMP(Equal-Cost Multipath Routing)链路实现本地IDC和VPC之间流量的负载分担。

场景示例

IPsec连接绑定TR最佳实践-公网-场景图

本文以上图场景为例。某企业在中国杭州拥有一个本地IDC,在阿里云华东2(上海)地域拥有一个VPC实例,VPC实例中已通过云服务器ECS(Elastic Compute Service)部署了相关业务。企业希望本地IDC可以通过VPN网关产品加密上云,实现和VPC实例之间的相互通信,同时希望本地IDC和VPC实例之间可以通过多条加密隧道互相通信,多条加密隧道组成ECMP链路,实现流量的负载分担。

企业可以在本地IDC和阿里云之间建立多条IPsec-VPN连接,实现本地IDC加密上云,然后通过云企业网产品将多条IPsec-VPN连接和VPC实例连接起来,多条IPsec-VPN连接加入云企业网后可以自动组成ECMP链路,实现本地IDC和VPC实例之间的相互通信以及流量的负载分担。

网络规划

网络功能规划

在本文场景中使用的网络功能如下:

  • 通过互联网在本地IDC和阿里云之间建立IPsec-VPN连接,即IPsec连接的网关类型为公网。
  • IPsec连接绑定的资源类型需为云企业网,以实现多条IPsec-VPN连接组成ECMP链路。
  • IPsec连接和本地IDC之间使用BGP动态路由协议。

网段规划

说明 在您规划网段时,请确保本地IDC和VPC之间要互通的网段没有重叠。
资源 网段及IP地址
VPC 主网段:10.0.0.0/16
  • 交换机1网段:10.0.0.0/24
  • 交换机2网段:10.0.1.0/24
  • ECS实例IP地址:10.0.0.1,ECS实例位于交换机1下
IPsec连接 BGP配置:
  • IPsec连接1:隧道网段为169.254.10.0/30,本端BGP地址为169.254.10.1,本端自治系统号为65531
  • IPsec连接2:隧道网段为169.254.11.0/30,本端BGP地址为169.254.11.1,本端自治系统号为65531
  • IPsec连接3:隧道网段为169.254.12.0/30,本端BGP地址为169.254.12.1,本端自治系统号为65531
本地网关设备 本地网关设备公网IP地址:
  • 本地网关设备1:11.XX.XX.1
  • 本地网关设备2:11.XX.XX.2
  • 本地网关设备3:11.XX.XX.3
本地网关设备BGP配置:
  • 本地网关设备1:隧道网段为169.254.10.0/30,本端BGP地址为169.254.10.2,本端自治系统号为65530
  • 本地网关设备2:隧道网段为169.254.11.0/30,本端BGP地址为169.254.11.2,本端自治系统号为65530
  • 本地网关设备3:隧道网段为169.254.12.0/30,本端BGP地址为169.254.12.2,本端自治系统号为65530
本地IDC 待和VPC互通的网段:
  • 192.168.0.0/24
  • 192.168.1.0/24
  • 192.168.2.0/24

准备工作

在开始配置前,请确保您已完成以下操作:
  • 您已经在阿里云华东2(上海)地域创建了一个VPC实例,并使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络
  • 您已经创建了云企业网实例,并在华东1(杭州)和华东2(上海)地域分别创建了企业版转发路由器。具体操作,请参见创建云企业网实例创建转发路由器实例
    重要 创建转发路由器实例时,需为转发路由器实例配置转发路由器地址段,否则IPsec连接无法成功绑定转发路由器实例。

    如果您已经创建了转发路由器实例,您可以单独为转发路由器实例添加转发路由器地址段。具体操作,请参见添加转发路由器地址段

  • 您已经了解VPC中ECS实例所应用的安全组规则,并确保安全组规则允许本地IDC和ECS实例互相通信。具体操作,请参见查询安全组规则添加安全组规则

配置流程

IPsec连接绑定TR最佳实践-公网-流程图

步骤一:创建用户网关

在建立IPsec-VPN连接前,您需要先创建用户网关,将本地网关设备的信息注册至阿里云上。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > 用户网关
  3. 在顶部菜单栏,选择用户网关的地域。
    VPN网关产品不支持建立跨境的IPsec-VPN连接,因此在您选择用户网关所属的地域时,需遵循就近原则,即选择离您本地IDC最近的阿里云地域。本文中选择华东1(杭州)

    关于跨境连接的更多信息,请参见什么是跨境连接和非跨境连接?

  4. 用户网关页面,单击创建用户网关
  5. 创建用户网关面板,根据以下信息进行配置,然后单击确定
    请根据以下配置在华东1(杭州)地域分别创建3个用户网关。
    配置项 配置项说明 用户网关1 用户网关2 用户网关3
    名称 输入用户网关的名称。 本文输入Customer-Gateway1 本文输入Customer-Gateway2 本文输入Customer-Gateway3
    IP地址 输入阿里云侧待连接的本地网关设备的公网IP地址。 本文输入本地网关设备1的公网IP地址11.XX.XX.1 本文输入本地网关设备2的公网IP地址11.XX.XX.2 本文输入本地网关设备3的公网IP地址11.XX.XX.3
    自治系统号 输入本地网关设备使用的BGP AS号。 本文输入65530

步骤二:创建IPsec连接

创建用户网关后,您需要在阿里云侧创建IPsec连接,阿里云侧将通过IPsec连接与本地网关设备之间建立IPsec-VPN连接。

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  3. 在顶部菜单栏,选择IPsec连接的地域。
    IPsec连接所属的地域需和用户网关所属的地域一致。本文选择华东1(杭州)
  4. IPsec连接页面,单击创建IPsec连接
  5. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
    请根据以下配置信息,在华东1(杭州)地域分别创建3个IPsec连接。创建IPsec连接会产生计费,IPsec连接的计费说明,请参见计费说明
    配置项 配置项说明 IPsec连接1 IPsec连接2 IPsec连接3
    名称 输入IPsec连接的名称。 本文输入IPsec连接1 本文输入IPsec连接2 本文输入IPsec连接3
    绑定资源 选择IPsec连接绑定的资源类型。 本文选择云企业网
    网关类型 选择IPsec连接的网络类型。 本文选择公网
    CEN实例ID 选择云企业网实例。 本文选择在准备工作中已创建的云企业网实例。
    转发路由器 选择IPsec连接待绑定的转发路由器实例。 系统依据IPsec连接所在的地域自动选择当前地域下的转发路由器实例。
    可用区 在转发路由器支持的可用区中选择部署IPsec连接的可用区。 本文选择杭州 可用区H
    用户网关 选择IPsec连接关联的用户网关。 本文选择Customer-Gateway1。 本文选择Customer-Gateway2。 本文选择Customer-Gateway3。
    路由模式 选择路由模式。 本文选择目的路由模式
    立即生效 选择IPsec连接的配置是否立即生效。取值:
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    		本文选择
    预共享密钥 输入IPsec连接的认证密钥,用于本地网关设备和IPsec连接之间的身份认证。

    密钥长度为1~100个字符。若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接

    重要 IPsec连接和本地网关设备配置的预共享密钥需一致,否则系统无法正常建立IPsec-VPN连接。
    		本文输入fddsFF123**** 本文输入fddsFF456**** 本文输入fddsFF789****
    高级配置 添加IKE配置、IPsec配置等加密配置。 本文IKE配置版本选择ikev2,其余配置项保持默认配置。更多信息,请参见创建和管理IPsec连接
    BGP配置 选择是否开启BGP功能。BGP功能默认为关闭状态。 本文开启BGP功能。
    隧道网段 输入建立加密隧道时使用的网段。

    该网段应是一个在169.254.0.0/16网段内,掩码长度为30的网段。

    		 本文输入169.254.10.0/30 本文输入169.254.11.0/30 本文输入169.254.12.0/30
    本端BGP地址 输入IPsec连接的BGP IP地址。

    该地址为隧道网段内的一个IP地址。

    		 本文输入169.254.10.1 本文输入169.254.11.1 本文输入169.254.12.1
    本端自治系统号 输入IPsec连接的自治系统号。 本文输入65531 本文输入65531 本文输入65531
    健康检查 选择是否开启健康检查功能。健康检查功能默认为关闭状态。 本文保持默认值,即不开启健康检查功能。
    IPsec连接创建成功后,系统将自动为每个IPsec连接分配一个网关IP地址,用于IPsec连接和本地网关设备之间建立IPsec-VPN连接。您可以在IPsec连接详情页面查看网关IP地址,如下图所示。查看公网IP地址

    本文中,系统为IPsec连接1、IPsec连接2、IPsec连接3分配的网关IP地址如下表所示。

    IPsec连接 网关IP地址
    IPsec连接1 120.XX.XX.191
    IPsec连接2 47.XX.XX.213
    IPsec连接3 47.XX.XX.161
    说明 IPsec连接只有绑定转发路由器实例后系统才会为其分配网关IP地址。如果在您创建IPsec连接时,IPsec连接的绑定资源类型为不绑定或者为VPN网关,则系统并不会为其分配网关IP地址。
  6. 返回到IPsec连接页面,找到刚刚创建的IPsec连接,在操作列选择更多 > 下载对端配置
    请分别下载3个IPsec连接的配置并将配置保存在您的本地电脑,用于后续在本地网关设备中添加VPN配置。

步骤三:配置本地网关设备

创建IPsec连接后,请依据下载的IPsec连接配置以及下述步骤,分别在本地网关设备1、本地网关设备2、本地网关设备3中添加VPN配置和BGP配置,以便本地IDC和阿里云之间建立IPsec-VPN连接。

以下配置示例仅供参考,不同厂商的设备配置命令可能会有所不同。具体命令,请咨询相关设备厂商。

  1. 登录本地网关设备的命令行配置界面。
  2. 执行以下命令,配置ikev2 proposal和policy。
    //分别在本地网关设备1、本地网关设备2、本地网关设备3中添加如下配置
crypto ikev2 proposal alicloud  
encryption aes-cbc-128          //配置加密算法,本文为aes-cbc-128。
integrity sha1                  //配置认证算法,本文为sha1。
group 2                         //配置DH分组,本文为group2。
exit
!
crypto ikev2 policy Pureport_Pol_ikev2
proposal alicloud
exit
!
  3. 执行以下命令,配置ikev2 keyring。
    //在本地网关设备1中添加如下配置
crypto ikev2 keyring alicloud
peer alicloud
address 120.XX.XX.191              //配置云上IPsec连接1的公网IP地址,本文为120.XX.XX.191。
pre-shared-key fddsFF123****     //配置预共享密钥,本文为fddsFF123****。
exit
!
//在本地网关设备2中添加如下配置
crypto ikev2 keyring alicloud
peer alicloud
address 47.XX.XX.213               //配置云上IPsec连接2的公网IP地址,本文为47.XX.XX.213。
pre-shared-key fddsFF456****     //配置预共享密钥,本文为fddsFF456****。
exit
!
//在本地网关设备3中添加如下配置
crypto ikev2 keyring alicloud
peer alicloud
address 47.XX.XX.161              //配置云上IPsec连接3的公网IP地址,本文为47.XX.XX.161。
pre-shared-key fddsFF789****     //配置预共享密钥,本文为fddsFF789****。
exit
!
  4. 执行以下命令,配置ikev2 profile。
    //在本地网关设备1中添加如下配置
crypto ikev2 profile alicloud
match identity remote address 120.XX.XX.191 255.255.255.255    //匹配云上IPsec连接1的公网IP地址,本文为120.XX.XX.191。
identity local address 11.XX.XX.1    //本地网关设备1的公网IP地址,本文为11.XX.XX.1。
authentication remote pre-share   //认证对端的方式为PSK(预共享密钥的方式)。
authentication local pre-share    //认证本端的方式为PSK。
keyring local alicloud            //调用密钥串。
exit
!
//在本地网关设备2中添加如下配置
crypto ikev2 profile alicloud
match identity remote address 47.XX.XX.213 255.255.255.255    //匹配云上IPsec连接2的公网IP地址,本文为47.XX.XX.213。
identity local address 11.XX.XX.2    //本地网关设备2的公网IP地址,本文为11.XX.XX.2。
authentication remote pre-share   //认证对端的方式为PSK(预共享密钥的方式)。
authentication local pre-share    //认证本端的方式为PSK。
keyring local alicloud            //调用密钥串。
exit
!
//在本地网关设备3中添加如下配置
crypto ikev2 profile alicloud
match identity remote address 47.XX.XX.161 255.255.255.255    //匹配云上IPsec连接3的公网IP地址,本文为47.XX.XX.161。
identity local address 11.XX.XX.3    //本地网关设备3的公网IP地址,本文为11.XX.XX.3。
authentication remote pre-share   //认证对端的方式为PSK(预共享密钥的方式)。
authentication local pre-share    //认证本端的方式为PSK。
keyring local alicloud            //调用密钥串。
exit
!
  5. 执行以下命令,配置transform。
    //分别在本地网关设备1、本地网关设备2、本地网关设备3中添加如下配置
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode tunnel
exit
!
  6. 执行以下命令,配置IPsec Profile,并调用transform、pfs和ikev2 profile。
    //分别在本地网关设备1、本地网关设备2、本地网关设备3中添加如下配置
crypto ipsec profile alicloud
set transform-set TSET
set pfs group2
set ikev2-profile alicloud
exit
!
  7. 执行以下命令,配置IPsec隧道。
    //在本地网关设备1中添加如下配置
interface Tunnel100
ip address 169.254.10.2 255.255.255.252    //配置本地网关设备1的隧道地址,本文为169.254.10.2。
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 120.XX.XX.191            //配置隧道对端的云上IPsec连接1的公网IP地址,本文为120.XX.XX.191。
tunnel protection ipsec profile alicloud
no shutdown
exit
!
interface GigabitEthernet1                 //配置与阿里云建立IPsec-VPN连接的接口IP地址。
ip address 11.XX.XX.1 255.255.255.0
negotiation auto
!
//在本地网关设备2中添加如下配置
interface Tunnel100
ip address 169.254.11.2 255.255.255.252    //配置本地网关设备2的隧道地址,本文为169.254.11.2。
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 47.XX.XX.213            //配置隧道对端的云上IPsec连接2的公网IP地址,本文为47.XX.XX.213。
tunnel protection ipsec profile alicloud
no shutdown
exit
!
interface GigabitEthernet1                 //配置与阿里云建立IPsec-VPN连接的接口IP地址。
ip address 11.XX.XX.2 255.255.255.0
negotiation auto
!
//在本地网关设备3中添加如下配置
interface Tunnel100
ip address 169.254.12.2 255.255.255.252    //配置本地网关设备3的隧道地址,本文为169.254.12.2。
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 47.XX.XX.161           //配置隧道对端的云上IPsec连接3的公网IP地址,本文为47.XX.XX.161。
tunnel protection ipsec profile alicloud
no shutdown
exit
!
interface GigabitEthernet1                 //配置与阿里云建立IPsec-VPN连接的接口IP地址。
ip address 11.XX.XX.3 255.255.255.0
negotiation auto
!
  8. 执行以下命令,配置BGP路由协议。
    //在本地网关设备1中添加如下配置
router bgp 65531                         //开启BGP路由协议,并配置本地IDC的BGP AS号。本文为65531。
bgp router-id 169.254.10.2               //BGP路由器ID,本文设置为169.254.10.2。
bgp log-neighbor-changes
neighbor 169.254.10.1 remote-as 65530    //配置BGP邻居的AS号,本文为云上IPsec连接1的BGP AS号65530。
neighbor 169.254.10.1 ebgp-multihop 10   //配置EBGP跳数为10。  
!
address-family ipv4
network 192.168.0.0 mask 255.255.255.0   //宣告本地IDC的网段,本文配置为192.168.0.0/24、192.168.1.0/24、192.168.2.0/24。
network 192.168.1.0 mask 255.255.255.0   
network 192.168.2.0 mask 255.255.255.0   
neighbor 169.254.10.1 activate           //激活BGP邻居。
exit-address-family
!
//在本地网关设备2中添加如下配置
router bgp 65531                         //开启BGP路由协议,并配置本地IDC的BGP AS号。本文为65531。
bgp router-id 169.254.11.2               //BGP路由器ID,本文设置为169.254.11.2。
bgp log-neighbor-changes
neighbor 169.254.11.1 remote-as 65530    //配置BGP邻居的AS号,本文为云上IPsec连接2的BGP AS号65530。
neighbor 169.254.11.1 ebgp-multihop 10   //配置EBGP跳数为10。  
!
address-family ipv4
network 192.168.0.0 mask 255.255.255.0   //宣告本地IDC的网段,本文配置为192.168.0.0/24、192.168.1.0/24、192.168.2.0/24。
network 192.168.1.0 mask 255.255.255.0   
network 192.168.2.0 mask 255.255.255.0   
neighbor 169.254.11.1 activate           //激活BGP邻居。
exit-address-family
!
//在本地网关设备3中添加如下配置
router bgp 65531                         //开启BGP路由协议,并配置本地IDC的BGP AS号。本文为65531。
bgp router-id 169.254.12.2               //BGP路由器ID,本文设置为169.254.12.2。
bgp log-neighbor-changes
neighbor 169.254.12.1 remote-as 65530    //配置BGP邻居的AS号,本文为云上IPsec连接3的BGP AS号65530。
neighbor 169.254.12.1 ebgp-multihop 10   //配置EBGP跳数为10。  
!
address-family ipv4
network 192.168.0.0 mask 255.255.255.0   //宣告本地IDC的网段,本文配置为192.168.0.0/24、192.168.1.0/24、192.168.2.0/24。
network 192.168.1.0 mask 255.255.255.0   
network 192.168.2.0 mask 255.255.255.0   
neighbor 169.254.12.1 activate           //激活BGP邻居。
exit-address-family
!

步骤四:创建VPC连接

IPsec连接被绑定至转发路由器实例后,您需要在云企业网管理控制台创建VPC连接,将VPC实例也绑定至转发路由器实例上,用于实现本地IDC和VPC之间的相互通信。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
  3. 基本信息 > 转发路由器页签,找到华东2(上海)地域的转发路由器实例,在操作列单击创建网络实例连接
  4. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建
    配置项 配置项说明 VPC连接
    实例类型 选择网络实例类型。 本文选择专有网络(VPC)
    地域 选择网络实例所属的地域。 本文选择华东2(上海)
    转发路由器 系统自动显示当前地域已创建的转发路由器实例ID。
    资源归属UID 选择网络实例所属的阿里云账号和当前登录的账号是否为同一个账号。 本文选择同账号
    付费方式 VPC连接的付费方式。默认值为按量付费。关于转发路由器的计费规则,请参见计费说明
    连接名称 输入VPC连接的名称。 本文输入VPC-test
    网络实例 选择网络实例。 本文选择已创建的VPC实例。
    交换机 在企业版转发路由器支持的可用区中选择至少一个交换机实例,并确保选择的每个交换机实例下拥有一个空闲的IP地址。

    如果VPC实例在企业版转发路由器支持的可用区中并没有交换机实例,您需要新建一个交换机实例。 具体操作,请参见创建和管理交换机

    企业版转发路由器将在VPC实例的交换机中创建一个弹性网卡ENI(Elastic Network Interface)(该ENI将占用交换机下的一个IP地址),作为VPC实例与企业版转发路由器流量互通的接口。

    		 本文在可用区F下选择交换机1。
    高级配置 选择是否开启所有高级配置选项。系统默认选择开启所有高级配置选项。 保持默认配置,即开启所有高级配置选项。

步骤五:创建跨地域连接

由于IPsec连接绑定的转发路由器实例和VPC实例绑定的转发路由器实例位于不同的地域,本地IDC和VPC实例之间默认无法通信。您需要在华东1(杭州)和华东2(上海)地域的转发路由器实例之间创建跨地域连接,实现本地IDC和VPC实例之间的跨地域互通。

  1. 登录云企业网管理控制台
  2. 购买带宽包。

    在创建跨地域连接前,您需要先购买带宽包,以便为跨地域连接分配跨地域带宽。

    1. 云企业网实例页面,找到目标云企业网实例,单击云企业网实例ID。
    2. 在云企业网实例详情页面,选择基本信息 > 带宽包管理,单击购买带宽包(预付费)
    3. 在购买页面,根据以下信息配置带宽包,然后单击立即购买并完成支付。
      配置项 说明
      商品类型 选择带宽包的商品类型。
      • 非跨境:指互通区域为中国内地与中国内地的带宽包或者互通区域为非中国内地与非中国内地的带宽包。例如:亚太与北美。
      • 跨境:指互通区域为中国内地与非中国内地的带宽包。例如:中国内地与北美。
      本文选择非跨境
      云企业网 选择需购买带宽包的云企业网实例。

      完成支付后,带宽包自动绑定至该云企业网实例。

      本文选择已创建的云企业网实例。
      区域-A 选择参与互通的网络实例所在的区域。

      本文选择中国内地

      说明
      • 带宽包创建后,不支持修改互通区域。
      • 带宽包支持的区域及地域信息,请参见使用带宽包
      区域-B 选择参与互通的网络实例所在的区域。

      本文选择中国内地
      计费方式 显示带宽包的计费方式。默认为按带宽计费。

      带宽包计费说明,请参见计费说明
      带宽值 请根据实际业务需求选择带宽包的带宽值。单位:Mbps。
      带宽包名称 输入带宽包的名称。
      购买时长 选择带宽包的购买时长。

      选中到期自动续费可开启带宽包自动续费功能。

      资源组 选择带宽包所属的资源组。

      仅购买非跨境的带宽包时,支持配置该项。
  3. 创建跨地域连接。
    1. 云企业网实例页面,找到目标云企业网实例,单击云企业网实例ID。
    2. 基本信息 > 带宽包管理页签,单击设置跨地域带宽
    3. 连接网络实例页面,根据以下信息配置跨地域连接,然后单击确定创建
      配置项 说明
      实例类型 选择跨地域连接
      地域 选择要互通的地域。

      本文选择华东1(杭州)
      转发路由器 系统自动显示当前地域下转发路由器的实例ID。
      连接名称 输入跨地域连接的名称。

      本文输入Cross-Region-test
      对端地域 选择要互通的对端地域。

      本文选择华东2(上海)
      转发路由器 系统自动显示当前地域下转发路由器的实例ID。
      带宽分配方式 跨地域连接支持以下带宽分配方式:
      • 从带宽包分配:从已经购买的带宽包中分配带宽。
      • 使用测试带宽:测试带宽默认为1 Kbps,仅供测试跨地域网络(IPv4)的连通性。

      本文选择从带宽包分配
      带宽包实例 选择云企业网实例已绑定的带宽包实例。
      带宽 输入跨地域连接的带宽值。单位:Mbps。
      高级配置 保持默认配置,即选中全部高级配置选项。

步骤六:验证测试

创建跨地域连接后,本地IDC和VPC实例之间已经可以相互通信,同时本地IDC和VPC实例之间的流量可以通过3条IPsec-VPN连接实现流量的负载分担。以下内容介绍如何测试网络连通性以及如何验证流量已通过3条IPsec-VPN连接实现负载分担。

  1. 网络连通性测试。
    1. 登录VPC实例下的ECS实例。具体操作,请参见ECS远程连接操作指南
    2. 在ECS实例中执行ping命令,尝试访问本地IDC中的客户端。
      ping <本地IDC客户端的IP地址>

      如果可以收到响应报文,则表示本地IDC和VPC实例之间的网络已连通,可以实现资源互访。

  2. 验证流量的负载分担。
    在本地IDC的多个客户端中持续向ECS实例发送访问请求,如果您可以分别在IPsec连接1、IPsec连接2、IPsec连接3的详情页面查看到流量监控数据,则证明本地IDC和VPC实例之间的流量已通过3条IPsec-VPN连接实现流量的负载分担。
    1. 登录VPN网关管理控制台
    2. 在顶部状态栏处,选择IPsec连接所属的地域。
    3. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
    4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
      进入IPsec连接详情页面在监控页签下查看流量监控数据。

路由说明

在本文中,创建IPsec连接、创建VPC连接、创建跨地域连接时均采用默认路由配置,默认路由配置下云企业网会自动完成路由的分发和学习以实现本地IDC和VPC实例之间的相互通信。默认路由配置说明如下:

IPsec连接

在创建IPsec连接时如果直接绑定转发路由器实例,则系统会自动对IPsec连接进行以下路由配置:

  • IPsec连接默认被关联至转发路由器实例的默认路由表,转发路由器实例将通过查询默认路由表转发来自IPsec连接的流量。
  • 您为IPsec连接添加的目的路由或者IPsec连接通过BGP动态路由协议学习到的云下路由,均会被自动传播至转发路由器实例的默认路由表。
  • 转发路由器实例会将默认路由表下的路由条目自动传播至IPsec连接的BGP路由表中。
  • IPsec连接会将通过BGP动态路由协议学习到的云上路由自动传播至本地IDC中。

VPC实例

创建VPC连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对VPC实例进行以下路由配置:

  • 自动关联至转发路由器的默认路由表

    开启本功能后,VPC连接会自动关联至转发路由器的默认路由表,转发路由器通过查询默认路由表转发VPC实例的流量。

  • 自动传播系统路由至转发路由器的默认路由表

    开启本功能后,VPC实例会将自身的系统路由传播至转发路由器的默认路由表中,用于网络实例的互通。

  • 自动为VPC的所有路由表配置指向转发路由器的路由

    开启本功能后,系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目,其下一跳均指向VPC连接。

跨地域连接

创建跨地域连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对跨地域连接进行以下路由配置:

  • 自动关联至转发路由器的默认路由表

    开启本功能后,跨地域连接会关联至转发路由器的默认路由表,转发路由器会通过默认路由表转发跨地域间的流量。

  • 自动传播系统路由至转发路由器的默认路由表

    开启本功能后,跨地域连接会将系统路由传播至转发路由器的默认路由表中。

  • 自动发布路由到对端地域

    开启本功能后,即允许跨地域连接将本端地域转发路由器的路由自动传播至对端转发路由器的路由表中,用于网络实例跨地域互通。

路由条目展示

以下内容为您展示本文中转发路由器实例、IPsec连接、VPC实例和本地网关设备的路由条目信息。您可以在阿里云控制台查看对应实例的路由条目信息:
  • 查看转发路由器实例路由条目信息,请参见查看企业版转发路由器路由条目
  • 查看VPC实例路由条目信息,请参见创建和管理路由表
  • 查看IPsec连接的路由条目信息,请进入IPsec连接详情页面:
    1. 登录VPN网关管理控制台
    2. 在顶部状态栏处,选择IPsec连接所属的地域。
    3. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
    4. IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。

      进入IPsec连接详情页面在BGP路由表页签下查看IPsec连接的路由条目信息。

表 1. 华东1(杭州)地域转发路由器实例默认路由表的路由条目
目标网段 下一跳 路由类型
10.0.0.0/24 跨地域连接 自动学习
10.0.1.0/24 跨地域连接 自动学习
192.168.0.0/24 IPsec连接1 自动学习
192.168.0.0/24 IPsec连接2 自动学习
192.168.0.0/24 IPsec连接3 自动学习
192.168.1.0/24 IPsec连接1 自动学习
192.168.1.0/24 IPsec连接2 自动学习
192.168.1.0/24 IPsec连接3 自动学习
192.168.2.0/24 IPsec连接1 自动学习
192.168.2.0/24 IPsec连接2 自动学习
192.168.2.0/24 IPsec连接3 自动学习
表 2. 华东2(上海)地域转发路由器实例默认路由表的路由条目
目标网段 下一跳 路由类型
10.0.0.0/24 VPC连接 自动学习
10.0.1.0/24 VPC连接 自动学习
192.168.0.0/24 跨地域连接 自动学习
192.168.0.0/24 跨地域连接 自动学习
192.168.0.0/24 跨地域连接 自动学习
192.168.1.0/24 跨地域连接 自动学习
192.168.1.0/24 跨地域连接 自动学习
192.168.1.0/24 跨地域连接 自动学习
192.168.2.0/24 跨地域连接 自动学习
192.168.2.0/24 跨地域连接 自动学习
192.168.2.0/24 跨地域连接 自动学习
表 3. VPC实例系统路由表的路由条目
目标网段 下一跳 路由类型
10.0.0.0/24 本地 系统
10.0.1.0/24 本地 系统
10.0.0.0/8 VPC连接 自定义
172.16.0.0/12 VPC连接 自定义
192.168.0.0/16 VPC连接 自定义
表 4. IPsec连接BGP路由表的路由条目
目标网段 来源说明
IPsec连接1中BGP路由表的路由条目
10.0.0.0/24 从阿里云侧学习来的路由
10.0.1.0/24 从阿里云侧学习来的路由
192.168.0.0/24 从本地IDC侧学习来的路由
192.168.1.0/24 从本地IDC侧学习来的路由
192.168.2.0/24 从本地IDC侧学习来的路由
IPsec连接2中BGP路由表的路由条目
10.0.0.0/24 从阿里云侧学习来的路由
10.0.1.0/24 从阿里云侧学习来的路由
192.168.0.0/24 从本地IDC侧学习来的路由
192.168.1.0/24 从本地IDC侧学习来的路由
192.168.2.0/24 从本地IDC侧学习来的路由
IPsec连接3中BGP路由表的路由条目
10.0.0.0/24 从阿里云侧学习来的路由
10.0.1.0/24 从阿里云侧学习来的路由
192.168.0.0/24 从本地IDC侧学习来的路由
192.168.1.0/24 从本地IDC侧学习来的路由
192.168.2.0/24 从本地IDC侧学习来的路由
表 5. 本地网关设备学习到的云上路由条目
目标网段 下一跳
本地网关设备1学习到的云上路由条目
10.0.0.0/24 IPsec连接1
10.0.1.0/24 IPsec连接1
本地网关设备2学习到的云上路由条目
10.0.0.0/24 IPsec连接2
10.0.1.0/24 IPsec连接2
本地网关设备3学习到的云上路由条目
10.0.0.0/24 IPsec连接3
10.0.1.0/24 IPsec连接3