本文介绍如何使用IPsec-VPN建立专有网络VPC(Virtual Private Cloud)到本地数据中心的VPN连接,实现本地数据中心与VPC的互通。
前提条件
- 您已经注册了阿里云账号。如未注册,请先完成账号注册。
- 确保本地数据中心的网关设备支持IKEv1和IKEv2协议,只要支持这两种协议的本地网关设备均可以和云上VPN网关互连。
- 本地数据中心的网关设备已经配置了静态公网IP。
- 本地数据中心和VPC互通的网段没有重叠。
- 您已经了解VPC中的ECS实例所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则。
背景信息
本文以下图场景为例。某公司在阿里云创建了VPC,网段为192.168.0.0/16。本地数据中心的网段为172.16.0.0/12,本地网关设备的公网IP为211.XX.XX.68。公司因业务发展,需要本地数据中心与云上VPC互通。您可以通过IPsec-VPN,建立本地数据中心与云上VPC的连接,实现云上和云下的互通。
步骤一:创建VPN网关
- 登录VPN网关管理控制台。
- 在VPN网关页面,单击创建VPN网关。
- 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
- 实例名称:输入VPN网关的实例名称。
- 地域和可用区:选择VPN网关所属的地域。
- 网关类型:选择要创建的VPN网关类型。本示例选择普通型。
- VPC:选择要连接的VPC。
- 指定交换机:是否指定VPN网关创建在VPC中的某一个交换机下。本示例选择否。
如果您选择了是,您还需要指定具体的虚拟交换机。
- 带宽规格:选择VPN网关的公网带宽峰值。单位为Mbps。
- IPsec-VPN:选择是否开启IPsec-VPN功能。本示例选择开启。
- SSL-VPN:选择是否开启SSL-VPN功能。本示例选择关闭。
- 计费周期:选择购买时长。关于计费的更多信息, 请参见计费说明。
- 返回VPN网关页面,查看创建的VPN网关。
刚创建好的VPN网关的状态是准备中,约1~5分钟左右会变成正常状态。正常状态表明VPN网关已经完成了初始化,可以正常使用。
步骤二:创建用户网关
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择用户网关的地域。
说明 用户网关的地域必须和要连接的VPN网关的地域相同。
- 在用户网关页面,单击创建用户网关。
- 在创建用户网关面板,根据以下信息配置用户网关,然后单击确定。
- 名称:输入用户网关的名称。
- IP地址:输入VPC要连接的本地数据中心的网关设备的公网IP。本示例输入211.XX.XX.68。
- 描述:输入用户网关的描述信息。
更多参数信息,请参见
创建用户网关。
步骤三:创建IPsec连接
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择IPsec连接实例的地域。
说明 IPsec连接实例的地域必须和要连接的VPN网关的地域相同。
- 在IPsec连接页面,单击创建IPsec连接。
- 在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定。
步骤四:在本地网关设备中加载VPN配置
- 在左侧导航栏,选择。
- 在IPsec连接页面,找到目标IPsec连接实例,然后在操作列下选择。
- 根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见本地网关配置。
步骤五:配置VPN网关路由
- 在左侧导航栏,选择。
- 在VPN网关页面,找到目标VPN网关实例,单击实例ID。
- 在目的路由表页签,单击添加路由条目。
- 在添加路由条目面板,根据以下信息配置目的路由,然后单击确定。
- 目标网段:输入本地数据中心的私网网段。本示例输入172.16.0.0/12。
- 下一跳类型:选择IPsec连接。
- 下一跳:选择IPsec连接实例。
- 发布到VPC:选择是否将新添加的路由发布到VPC路由表。本示例选择是。
- 权重:选择路由的权重值。本示例选择100。
说明 相同目标网段的目的路由,不支持同时设置权重值为100。
步骤六:测试连通性
- 登录到VPC内一台无公网IP的ECS实例。关于如何登录ECS实例,请参见连接方式概述。
- 通过ping命令,访问本地数据中心内的一台服务器,验证通信是否正常。
> 下载对端配置。