AI 助理
备案控制台
文档
输入文档关键字查找
首页VPN网关IPsec-VPN实践教程与VPC互通建立VPC到VPC的连接

建立VPC到VPC的连接(单隧道模式)

更新时间:2025-04-03 10:02:29
产品详情
我的收藏

本文介绍如何使用IPsec-VPN在两个专有网络VPC(Virtual Private Cloud)之间建立安全连接,实现两个VPC内的资源互访。

场景示例

说明

如果您要在跨地域的VPC之间建立IPsec-VPN连接,IPsec-VPN连接的网络质量会受公网质量的影响,推荐您使用云企业网建立VPCVPC的连接。具体操作,请参见跨账号VPC互通

本文以下述场景为例。某企业在华东1(杭州)地域拥有一个VPC1,在华北1(青岛)地域拥有一个VPC2。两个VPC均已使用云服务器ECS(Elastic Compute Service)部署了业务,企业因后续发展,现在需要VPC1VPC2中的业务可以互相访问。

出于建设安全的网络环境考虑,企业计划使用VPN网关产品,通过在两个VPC之间建立IPsec-VPN连接,对数据进行加密传输,实现资源的安全互访。

VPC之间互联

前提条件

  • 您已经在阿里云华东1(杭州)地域和华北1(青岛)地域分别创建了VPC1VPC2,两个VPC中均使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络

    本示例VPC1VPC2的配置如下表所示。

    重要

    您可以自行规划VPC实例的网段,请确保要互通的网段之间没有重叠。

    VPC实例名称

    VPC实例所属地域

    VPC实例的网段

    VPC实例ID

    ECS实例名称

    ECS实例的IP地址

    VPC实例名称

    VPC实例所属地域

    VPC实例的网段

    VPC实例ID

    ECS实例名称

    ECS实例的IP地址

    VPC1

    华东1(杭州)

    192.168.0.0/16

    vpc-bp1e0yx3nsosmitth****

    ECS1

    192.168.20.161

    VPC2

    华北1(青岛)

    10.0.0.0/16

    vpc-m5e83sapxp88cgp5f****

    ECS2

    10.0.1.110

  • 您已经了解两个VPCECS实例所应用的安全组规则,并确保安全组规则允许两个ECS实例互访。具体操作,请参见查询安全组规则添加安全组规则

配置流程

VPC与VPC互通-配置流程

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关实例所属的地域。

    本示例选择华东1(杭州)

    说明

    VPN网关实例的地域和待关联的VPC实例的地域需相同。

  3. VPN网关页面,单击创建VPN网关

  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。

    配置项

    说明

    配置项

    说明

    实例名称

    输入VPN网关实例的名称。本示例输入VPN网关1

    地域和可用区

    选择VPN网关实例所属的地域。本示例选择华东1(杭州)

    网关类型

    选择VPN网关实例的类型。本示例选择普通型

    网络类型

    选择VPN网关实例的网络类型。本示例选择公网

    隧道

    系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。

    VPC

    选择VPN网关实例关联的VPC实例。本示例选择VPC1。

    虚拟交换机

    VPC实例中选择一个交换机实例。

    • IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。

    • IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。

      IPsec-VPN功能开启后,系统会在两个交换机实例下各创建一个弹性网卡ENI(Elastic Network Interfaces),作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

    说明

    • 系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。

    • 创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

    虚拟交换机2

    VPC实例中选择第二个交换机实例。

    IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。

    带宽规格

    选择VPN网关实例的公网带宽峰值。单位:Mbps。

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。本示例选择开启

    SSL-VPN

    选择开启或关闭SSL-VPN功能。本示例选择关闭

    计费周期

    选择购买时长。

    您可以选择是否自动续费:

    • 按月购买:自动续费周期为1个月。

    • 按年购买:自动续费周期为1年。

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    更多信息,请参见创建VPN网关实例

  5. 返回VPN网关页面,查看已创建的VPN网关实例。

    创建VPN网关实例后,其状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化,可以正常使用。

  6. 重复步骤2步骤4,在华北1(青岛)地域创建一个名称为VPN网关2VPN网关实例,该VPN网关实例关联VPC2,其余配置与VPN网关1相同。

    创建完成后,两个VPN网关实例的信息如下表所示。

    地域

    VPN网关实例的名称

    VPN网关实例关联的VPC实例名称

    VPN网关实例ID

    VPN网关IP地址

    地域

    VPN网关实例的名称

    VPN网关实例关联的VPC实例名称

    VPN网关实例ID

    VPN网关IP地址

    华东1(杭州)

    VPN网关1

    VPC1

    vpn-bp1l5zihic47jprwa****

    120.XX.XX.40

    华北1(青岛)

    VPN网关2

    VPC2

    vpn-m5eqjnr4ii6jajpms****

    118.XX.XX.20

步骤二:创建用户网关

  1. 在左侧导航栏,选择网间互联 > VPN > 用户网关

  2. 在顶部菜单栏,选择用户网关实例的地域。

    说明

    用户网关实例的地域必须和待连接的VPN网关实例的地域相同。

  3. 用户网关页面,单击创建用户网关

  4. 创建用户网关面板,根据以下信息配置用户网关实例,然后单击确定

    您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个用户网关实例,用户网关实例的配置请参见下表。

    配置项

    配置项说明

    华东1(杭州)

    华北1(青岛)

    配置项

    配置项说明

    华东1(杭州)

    华北1(青岛)

    名称

    输入用户网关实例的名称。

    Customer1

    Customer2

    IP地址

    输入用户网关实例的公网IP地址。

    本示例输入VPN网关2IP地址118.XX.XX.20

    说明

    在本示例中VPC1VPC2互为对方的用户网关。

    本示例输入VPN网关1IP地址120.XX.XX.40

    更多信息,请参见创建和管理用户网关

    配置完成后,VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。

    地域

    VPC实例名称

    VPN网关实例名称

    用户网关实例名称

    用户网关实例ID

    用户网关IP地址

    地域

    VPC实例名称

    VPN网关实例名称

    用户网关实例名称

    用户网关实例ID

    用户网关IP地址

    华东1(杭州)

    VPC1

    VPN网关1

    Customer1

    cgw-bp1er5cw26c2b35vm****

    118.XX.XX.20

    华北1(青岛)

    VPC2

    VPN网关2

    Customer2

    cgw-m5e6qdvuxquse3fvm****

    120.XX.XX.40

步骤三:创建IPsec连接

VPN网关和用户网关创建完成后,您需要分别创建两个IPsec连接建立VPN加密通道。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接

  2. IPsec连接页面,单击绑定VPN网关

  3. 创建IPsec连接(VPN)页面,根据以下信息配置IPsec连接,然后单击确定

    您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个IPsec连接,IPsec连接的配置请参见下表。

    配置项

    配置项说明

    华东1(杭州)

    华北1(青岛)

    配置项

    配置项说明

    华东1(杭州)

    华北1(青岛)

    IPsec连接名称

    输入IPsec连接的名称。

    IPsec连接1

    IPsec连接2

    地域

    选择IPsec连接要绑定的VPN网关实例的地域。

    选择华东1(杭州)

    选择华北1(青岛)

    绑定VPN网关

    选择已创建的VPN网关实例。

    VPN网关1

    VPN网关2

    路由模式

    选择路由模式。

    选择目的路由模式

    选择目的路由模式

    立即生效

    选择是否立即生效。

    • :配置完成后立即进行协商。

    • :当有流量进入时进行协商。

    说明

    使用VPN网关在两个VPC之间建立IPsec-VPN连接的场景下,推荐其中一个IPsec连接的立即生效配置为,以便在配置完成后,两个VPC之间可以立即开始IPsec协议的协商。

    本示例选择

    本示例选择

    用户网关

    选择已创建的用户网关实例。

    Customer1

    Customer2

    预共享密钥

    输入预共享密钥。

    • 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?

    • 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接

    重要

    IPsec连接及其对端配置的预共享密钥需一致,否则系统无法正常建立IPsec-VPN连接。

    fddsFF123****

    其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接(单隧道模式)

  4. 创建成功对话框中,单击确定

步骤四:配置路由

  1. 在左侧导航栏,选择网间互联 > VPN > VPN网关

  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,找到目标VPN网关实例,单击实例ID。

  4. 目的路由表页签,单击添加路由条目

  5. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定

    您需要分别为VPN网关1VPN网关2配置路由条目,配置信息如下表所示。

    配置项

    配置说明

    VPN网关1

    VPN网关2

    配置项

    配置说明

    VPN网关1

    VPN网关2

    目标网段

    输入待互通的目标网段。

    输入VPC2的私网网段10.0.0.0/16

    输入VPC1的私网网段192.168.0.0/16

    下一跳类型

    选择下一跳的类型。

    选择IPsec连接

    选择IPsec连接

    下一跳

    选择下一跳。

    选择IPsec连接1。

    选择IPsec连接2。

    发布到VPC

    选择是否将新添加的路由发布到VPN网关关联的VPC中。

    本示例选择

    本示例选择

    权重

    选择路由的权重值。

    • 100:高优先级。

    • 0:低优先级。

    本示例保持默认值100

    本示例保持默认值100

    更多信息,请参见添加目的路由

步骤五:测试连通性

  1. 登录VPC1内的ECS1实例。

    关于如何登录ECS实例,请参见ECS远程连接方式概述

  2. 执行ping命令,访问ECS2实例,验证两个VPC之间的资源是否可以互访。

    ping <ECS2实例IP地址>

    收到如下所示的回复报文,则证明两个VPC之间的资源可以正常互访。

    VPC与VPC互通-连通性测试

上一篇:使用国密型VPN网关实现VPC互通下一篇:VPC与友商云互通
  • 本页导读 (1)
  • 场景示例
  • 前提条件
  • 配置流程
  • 步骤一:创建VPN网关
  • 步骤二:创建用户网关
  • 步骤三:创建IPsec连接
  • 步骤四:配置路由
  • 步骤五:测试连通性