文档

多网段互通配置建议及常见问题

更新时间:

本文介绍使用IPsec-VPN连接实现多网段互通时的配置建议,且汇总多网段互通过程的常见问题。

多网段配置建议

  • IPsec连接及其对端网关设备建议使用IKEv2版本。

    说明

    如果对端网关设备不支持IKEv2版本,则IPsec连接及其对端网关设备可以使用IKEv1版本。在IPsec连接使用IKEv1版本的场景下,一个IPsec连接仅支持配置一个本地端网段和一个对端网段,您可以参考多网段配置方案推荐进行配置,以实现多网段互通。

  • 如果IPsec连接的对端使用的是思科、华三、华为等传统厂商的设备,则配置建议如下:

    • 由于阿里云IPsec连接侧IKE配置阶段以及IPsec配置阶段的加密算法认证算法DH分组均仅支持指定一个值,因此您在对端网关设备上添加VPN配置时,IKE配置阶段以及IPsec配置阶段的加密算法认证算法DH分组PFS)也都只能指定一个值,且需和IPsec连接侧相同。

    • 如果IPsec连接开启了DPD功能,则对端网关设备需使用标准的DPD功能。

    • IPsec连接和对端网关设备配置的SA(Security Association)生存周期需相同。

      如果对端网关设备支持指定基于流量的SA生存周期的值为0字节,则需将对端网关设备基于流量的SA生存周期配置为0字节。

多网段配置方案推荐

本地数据中心和VPC(Virtual Private Cloud)通过IPsec-VPN连接实现多网段互通时,推荐使用以下配置方案。

方案

适用的IKE版本

方案说明

方案优势或限制

配置示例

方案一(推荐)

  • IKEv1

  • IKEv2

本地数据中心和VPC之间建议使用一个IPsec-VPN连接进行连接,IPsec连接使用目的路由的路由模式,IPsec连接对端的网关设备配置源网段为0.0.0.0/0、目的网段为0.0.0.0/0的感兴趣流,然后通过在VPN网关和本地数据中心配置BGP动态路由或者静态路由控制流量转发。

方案优势:

  • 后续如果需要新增或删除待互通的网段,您仅需要调整路由的配置,无须修改IPsec-VPN连接的配置。

  • 在您新增或删除待互通的网段时,IPsec-VPN连接不会中断,对其余路由下的流量也不会产生影响。

方案一配置示例

方案二(次选)

  • IKEv1

  • IKEv2

本地数据中心和VPC之间建议使用一个IPsec-VPN连接进行连接,将本地数据中心侧和VPC侧待互通的网段分别聚合为1个网段,然后为IPsec连接和对端网关设备配置聚合网段。

方案限制:

后续如果有新增或删除的网段,您可能需要重新指定聚合网段,然后重新为IPsec连接及其对端网关设备进行配置,此操作会导致IPsec-VPN连接重新协商,造成短暂的流量中断。

方案二配置示例

方案三

IKEv2

本地数据中心和VPC之间建议使用一个IPsec-VPN连接进行连接,IPsec连接及其对端网关设备下配置多个本端网段对端网段实现多网端互通。

  • 如果您的VPN网关实例是在2023年06月之前创建的,使用本方案前您需要将VPN网关升级至最新版本。具体操作,请参见升级VPN网关

  • 如果您的VPN网关实例是在2023年06月之后创建的,您可以直接使用本方案无需额外操作。

方案限制:

  • 后续如果有新增或删除的网段,您需要重新为IPsec连接及其对端网关设备配置感兴趣流网段,此操作会导致IPsec-VPN连接重新协商,造成短暂的流量中断。

  • 一个IPsec连接支持添加的本端网段的数量最多为5个、支持添加的对端网段的数量最多也是5个。

方案三配置示例

方案四

  • IKEv1

  • IKEv2

在本地数据中心和VPC之间创建多个IPsec-VPN连接,每个网段使用一个IPsec-VPN连接互通,同时多个IPsec连接需满足以下条件:

  • 多个IPsec连接需关联同一个VPN网关和同一个用户网关。

  • 多个IPsec连接的预共享密钥以及IKE配置阶段的所有参数配置(包含版本协商模式加密算法认证算法DH分组SA生存周期(秒))需相同。

    每个IPsec连接侧的LocalId需和IPsec连接对端网关设备的RemoteId相同;每个IPsec连接侧的RemoteId需和对端网关设备的LocalId相同。

说明

如果一个VPN网关实例下存在多个IPsec连接,多个IPsec连接关联相同的用户网关,且多个IPsec连接的IKE版本相同,则这些IPsec连接就会共享一阶段。

在共享一阶段场景下,所有IPsec连接的预共享密钥以及IKE配置阶段的所有参数配置(包含版本协商模式加密算法认证算法DH分组SA生存周期(秒))需相同,以确保在IPsec协议协商时可以共享任意一个IPsec连接IKE配置阶段的配置。

方案限制:

后续如果需要修改互通的网段,您需要修改IPsec连接和对端网关设备的配置,此操作会导致IPsec-VPN连接重新协商,造成短暂的流量中断。

方案四配置示例

多网段配置方案示例

方案一配置示例

以下图场景为例。VPC下的多个网段(10.1.1.0/24和10.1.2.0/24)需要和本地数据中心下的多个网段(192.168.1.0/24和192.168.2.0/24)互通。推荐配置如下:

  • 在阿里云侧配置IPsec连接时,IPsec连接的路由模式使用目的路由模式。具体操作,请参见创建IPsec连接

  • 在VPN网关实例下添加路由配置时,推荐使用策略路由,并添加相关路由配置。具体操作,请参见使用策略路由

  • 在本地网关设备上添加源网段为0.0.0.0/0、目的网段为0.0.0.0/0的感兴趣流。具体命令,请咨询本地网关设备所属厂商。

多网段方案一示例..png

方案二配置示例

示例1

以下图场景为例。VPC下的多个网段(10.1.1.0/24和10.1.2.0/24)需要和本地数据中心下的多个网段(192.168.1.0/24和192.168.2.0/24)互通。推荐配置如下:

  • 在阿里云侧配置IPsec连接时,IPsec连接的路由模式使用感兴趣流模式,IPsec连接本端网段配置为VPC下的聚合网段10.1.0.0/16,对端网段配置为本地数据中心下的聚合网段192.168.0.0/16。具体操作,请参见创建IPsec连接

  • IPsec连接的路由模式感兴趣流模式时,系统会自动在VPN网关实例的策略路由表下添加源网段为IPsec连接本端网段目标网段为IPsec连接对端网段的策略路由,下一跳指向IPsec连接。默认状态下该策略路由未被发布至VPC中。

    如果您选择使用默认的策略路由,需要把该策略路由发布至VPC中。如果您需要自定义策略路由,请删除系统自动添加的策略路由,然后根据需要重新配置。相关操作,请参见使用策略路由

多网段方案二示例1..png

示例2

以下图场景为例。VPC下的多个网段(10.1.1.0/24和10.1.2.0/24)需要和本地数据中心下的多个网段(192.168.1.0/24和172.16.1.0/24)互通。推荐配置如下:

  • 在阿里云侧配置IPsec连接时,IPsec连接的路由模式使用感兴趣流模式,IPsec连接本端网段配置为VPC下的聚合网段10.1.0.0/16,对端网段配置为0.0.0.0/0。具体操作,请参见创建IPsec连接

    说明

    本地数据中心的两个网段并不邻近,无法进行有效聚合,此种场景下IPsec连接的对端网段建议填写为0.0.0.0/0。

  • IPsec连接的路由模式感兴趣流模式时,系统会自动在VPN网关实例的策略路由表下添加源网段为IPsec连接本端网段目标网段为IPsec连接对端网段的策略路由,下一跳指向IPsec连接。默认状态下该策略路由未被发布至VPC中。

    不建议在策略路由表中配置0.0.0.0/0网段的路由,因此建议您删除系统自动添加的策略路由,然后重新添加更为明细的策略路由。具体操作,请参见使用策略路由

多网段方案二示例2..png

方案三配置示例

以下图场景为例。VPC下的多个网段(10.1.1.0/24和10.1.2.0/24)需要和本地数据中心下的多个网段(192.168.1.0/24和192.168.2.0/24)互通。推荐配置如下:

  • 在阿里云侧配置IPsec连接时,IPsec连接的路由模式使用感兴趣流模式,IPsec连接本端网段配置为VPC下的2个网段10.1.1.0/24和10.1.2.0/24,对端网段配置为本地数据中心下的2个网段192.168.1.0/24和192.168.2.0/24。具体操作,请参见创建IPsec连接

  • IPsec连接的路由模式感兴趣流模式时,系统会自动在VPN网关实例的策略路由表下添加源网段为IPsec连接本端网段目标网段为IPsec连接对端网段的策略路由,下一跳指向IPsec连接。默认状态下该策略路由未被发布至VPC中。

    如果您选择使用默认的策略路由,需要把该策略路由发布至VPC中。如果您需要自定义策略路由,请删除系统自动添加的策略路由,然后根据需要重新配置。相关操作,请参见使用策略路由

多网段方案示例.png

方案四配置示例

以下图场景为例。VPC下的多个网段(10.1.1.0/24和10.1.2.0/24)需要和本地数据中心下的多个网段(192.168.1.0/24和172.16.1.0/24)互通。推荐配置如下:

  • 在阿里云侧创建多个IPsec连接,IPsec连接的路由模式均使用感兴趣流模式,每个IPsec连接下配置一个本端网段和一个对端网段。具体操作,请参见创建IPsec连接

  • IPsec连接的路由模式感兴趣流模式时,系统会自动在VPN网关实例的策略路由表下添加源网段为IPsec连接本端网段目标网段为IPsec连接对端网段的策略路由,下一跳指向IPsec连接。默认状态下该策略路由未被发布至VPC中。

    您需要将系统自动添加的4个策略路由发布至VPC中。具体操作,请参见使用策略路由

多网段方案三示例..png

常见问题

为什么IPsec连接状态为“第二阶段协商成功”,但是多网段场景下部分网段通信正常,部分网段通信不正常?

原因

在使用IPsec-VPN连接实现本地数据中心和VPC互通的场景中,如果VPN网关与思科、华三、华为等传统厂商的设备对接,在IPsec连接使用感兴趣流的路由模式且配置了多网段的情况下,仅一个网段可以互通,其余网段不通。

当前现象是阿里云VPN网关与思科、华三、华为等传统厂商的设备对接时,两端IPsec协议不兼容导致的。在IPsec连接配置多网段的情况下,阿里云VPN网关使用一个SA与对端的网关设备协商,而对端的网关设备在多网段的情况下会使用多SA与VPN网关协商。

解决方案

请参见多网段配置方案推荐

本地网关设备不支持IKEv2版本时,如何实现多网段互通?

如果本地网关设备不支持IKEv2版本,则IPsec连接及本地网关设备可以使用IKEv1版本。

在IPsec连接使用IKEv1版本的场景下,一个IPsec连接仅支持配置一个本端网段和一个对端网段,请参见多网段配置方案进行配置,以实现多网段互通。

  • 本页导读 (1)
文档反馈