本文介绍如何使用IPsec-VPN建立专有网络VPC(Virtual Private Cloud)到本地数据中心的VPN连接,实现本地数据中心与VPC的互通。
前提条件
- 您已经注册了阿里云账号。如未注册,请先完成账号注册。
- 确保本地数据中心的网关设备支持IKEv1和IKEv2协议,支持这两种协议的本地网关设备均可以和云上VPN网关互连。
- 本地数据中心的网关设备已经配置了静态公网IP。
- 本地数据中心和VPC互通的网段没有重叠。
- 您已经了解VPC中的ECS实例所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则和添加安全组规则。
背景信息
本文以下图场景示例。某公司在阿里云创建了VPC,网段为192.168.0.0/16。本地数据中心的网段为172.16.0.0/12,本地网关设备的公网IP为211.XX.XX.68。公司因业务发展,需要本地数据中心与云上VPC互通。您可以通过IPsec-VPN,建立本地数据中心与云上VPC的连接,实现云上和云下的互通。
步骤一:创建VPN网关
- 登录VPN网关管理控制台。
- 在VPN网关页面,单击创建VPN网关。
- 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
| 配置项 |
说明 |
| 实例名称 |
输入VPN网关实例的名称。
本文输入VPN网关1。
|
| 地域和可用区 |
选择VPN网关实例所属的地域。
说明 请确保VPN网关实例的地域和VPC实例的地域相同。
|
| 网关类型 |
选择VPN网关实例的类型。
本文选择普通型。
|
| 网络类型 |
选择VPN网关实例的网络类型。
本文选择公网。
|
| VPC |
选择VPN网关实例关联的VPC实例。 |
| 指定交换机 |
是否指定VPN网关创建在VPC实例中的某一个交换机下。 |
| 带宽规格 |
选择VPN网关实例的公网带宽峰值。单位:Mbps。 |
| IPsec-VPN |
选择开启或关闭IPsec-VPN功能。
本文选择开启。
|
| SSL-VPN |
选择开启或关闭SSL-VPN功能。
本文选择关闭。
|
| 计费周期 |
选择购买时长。
您可以选择是否自动续费:
- 按月购买:自动续费周期为1个月。
- 按年购买:自动续费周期为1年。
|
| 服务关联角色 |
单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。
VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。
|
更多参数信息,请参见
创建VPN网关实例。
- 返回VPN网关页面,查看创建的VPN网关。
刚创建好的VPN网关的状态是准备中,约1~5分钟左右会变成正常状态。正常状态表明VPN网关已经完成了初始化,可以正常使用。
步骤二:创建用户网关
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择用户网关的地域。
说明 用户网关的地域必须和要连接的VPN网关的地域相同。
- 在用户网关页面,单击创建用户网关。
- 在创建用户网关面板,根据以下信息配置用户网关,然后单击确定。
- 名称:输入用户网关的名称。
本文输入用户网关1。
- IP地址:输入VPC要连接的本地数据中心的网关设备的公网IP。
本文输入211.XX.XX.68。
更多参数信息,请参见
创建用户网关。
步骤三:创建IPsec连接
- 在左侧导航栏,选择。
- 在顶部菜单栏,选择IPsec连接的地域。
说明 IPsec连接的地域必须和要连接的VPN网关的地域相同。
- 在IPsec连接页面,单击创建IPsec连接。
- 在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定。
| 配置项 |
配置项说明 |
| 名称 |
输入IPsec连接的名称。
本文输入IPsec连接1。
|
| VPN网关 |
选择已创建的VPN网关实例。
本文选择VPN网关1。
|
| 用户网关 |
选择已创建的用户网关实例。
本文选择用户网关1。
|
| 路由模式 |
选择路由模式。
本文选择目的路由模式。
|
| 立即生效 |
选择是否立即生效。
- 是:配置完成后立即进行协商。
- 否:当有流量进入时进行协商。
本文选择是。
|
| 预共享密钥 |
输入预共享密钥。
如果不输入该值,系统默认生成一个16位的随机字符串。
注意 本地网关设备的预共享密钥需和IPsec连接的预共享密钥一致。
|
其他选项使用默认配置。更多信息,请参见创建IPsec连接。
步骤四:在本地网关设备中加载VPN配置
- 在左侧导航栏,选择。
- 在IPsec连接页面,找到目标IPsec连接实例,然后在操作列选择。
- 根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见本地网关配置。
步骤五:配置VPN网关路由
- 在左侧导航栏,选择。
- 在VPN网关页面,找到目标VPN网关实例,单击实例ID。
- 在目的路由表页签,单击添加路由条目。
- 在添加路由条目面板,根据以下信息配置目的路由,然后单击确定。
| 配置项 |
配置说明 |
| 目标网段 |
输入待互通的目标网段。
本文输入172.16.0.0/12。
|
| 下一跳类型 |
选择下一跳的类型。
本文选择IPsec连接。
|
| 下一跳 |
选择IPsec连接。 |
| 发布到VPC |
选择是否将新添加的路由条目发布到VPN网关关联的VPC路由表。
本文选择是。
|
| 权重 |
选择路由条目的权重值。
本文保持默认值100。
|
步骤六:测试连通性
- 登录到VPC内一台无公网IP的ECS实例。关于如何登录ECS实例,请参见连接方式概述。
- 执行ping命令,访问本地数据中心内的一台服务器,验证通信是否正常。
如果能够收到回复报文,则证明通信正常。
> 下载对端配置。