绑定VPN网关场景双隧道IPsec-VPN连接说明

IPsec连接绑定VPN网关的场景下,之前IPsec-VPN连接仅拥有一条加密隧道,在隧道故障后会直接导致网络中断。为提高IPsec-VPN连接的高可用性,VPN网关产品将IPsec-VPN连接升级为双隧道模式,一个IPsec-VPN连接下将包含主备两条隧道,且两条隧道分布在不同的可用区,在主隧道故障后,流量可以通过备隧道进行传输,实现IPsec-VPN连接可用区级别的容灾。

使用限制

  • 以下地域和可用区支持双隧道模式的IPsec-VPN连接。

    单击查看支持的地域和可用区

    地域

    可用区

    华东1(杭州)

    K、J、I、H、G

    华东2(上海)

    K、L、M、N、B、D、E、F、G

    华东5(南京-本地地域)

    A

    华东6(福州-本地地域)

    A

    华中1(武汉-本地地域)

    A

    华南1(深圳)

    A(已停止售卖)、E、D、F

    华南2(河源)

    A、B

    华南3(广州)

    A、B

    华北1(青岛)

    B、C

    华北2(北京)

    F、E、H、G、A、C、J、I、L、K

    华北3(张家口)

    A、B、C

    华北5(呼和浩特)

    A、B

    华北6(乌兰察布)

    A、B、C

    西南1(成都)

    A、B

    中国香港

    B、C、D

    新加坡

    A、B、C

    泰国(曼谷)

    A

    日本(东京)

    A、B、C

    韩国(首尔)

    A

    菲律宾(马尼拉)

    A

    印度尼西亚(雅加达)

    A、B、C

    马来西亚(吉隆坡)

    A、B

    英国(伦敦)

    A、B

    德国(法兰克福)

    A、B、C

    美国(硅谷)

    A、B

    美国(弗吉尼亚)

    A、B

    阿联酋(迪拜)

    A

    华东1金融云

    K、J、I、H

    华东2金融云

    F、G、Z、K

    华南1金融云

    D、E

    华北2金融云(邀测)

    K、L

  • 新购VPN网关实例后,默认仅能创建双隧道模式的IPsec-VPN连接,不再支持创建单隧道模式的IPsec-VPN连接。

  • 如果您之前已经创建了VPN网关实例,则这些VPN网关实例默认只能创建单隧道模式的IPsec-VPN连接。推荐您尽快将IPsec-VPN连接升级为双隧道模式,以体验高可用的IPsec-VPN连接。升级后该VPN网关实例不再支持创建单隧道模式的IPsec-VPN连接。具体操作,请参见升级IPsec-VPN连接为双隧道模式

双隧道模式组网说明

image

单隧道模式下IPsec-VPN连接仅存在一条隧道,在隧道故障后会直接导致网络中断。双隧道模式下一个IPsec-VPN连接下存在两条加密隧道,互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输。

  • 在双隧道模式下,创建VPN网关实例时,您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例,用于创建双隧道的IPsec-VPN连接,以实现IPsec-VPN连接可用区级别的容灾。

    说明

    对于仅支持一个可用区的地域 ,不支持可用区级别的容灾,建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用。支持选择相同的交换机实例。

  • 创建VPN网关实例后,系统会为VPN网关实例分配两个不同的IP地址,用于建立两条隧道。

    对于公网网络类型的VPN网关实例,当您开启SSL-VPN功能后,系统会额外为VPN网关实例分配一个IP地址,用于客户端和VPN网关之间建立SSL-VPN连接,SSL-VPN连接的IP地址与IPsec-VPN连接的两个IP地址不相同。

  • 在VPN管理控制台创建IPsec连接时需要对两条隧道分别进行配置,每条隧道关联一个用户网关(两条隧道可以关联相同的用户网关)。

    配置完成后,您还需要在IPsec连接对端的网关设备上添加VPN配置分别与两条隧道建立VPN连接,以建立双隧道的IPsec-VPN连接。

    重要

    在创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力。

双隧道模式流量传输说明

image
  • 从VPN网关侧去往对端的方向(图中绿色流量方向)

    • 在创建IPsec-VPN连接时,如果您仅配置了一条隧道(即仅启用一条隧道),则系统仅通过启用的隧道传输从VPN网关侧去往对端方向的流量,在隧道故障时,流量传输会中断。

    • 在创建IPsec-VPN连接时,如果您配置了两条隧道(即两条隧道均启用),则系统优先通过主隧道传输从VPN网关侧去往对端方向的流量,在主隧道故障时,系统会通过备隧道传输从VPN网关侧去往对端方向的流量。在主隧道恢复后,则该方向的流量会重新切换到主隧道进行传输。

  • 从对端去往VPN网关侧的方向(图中黑色流量方向)

    该方向的流量路径依赖于对端网关设备的路由配置。

    例如在本地IDC通过IPsec-VPN连接与VPC互通的场景中,您可以在本地网关设备上添加路由配置使本地IDC和VPC之间双方向的流量均通过主隧道传输,您也可以使VPC去往本地IDC的流量通过主隧道进行传输,使本地IDC去往VPC的流量通过备隧道进行传输。

双隧道模式路由配置原则

在使用双隧道模式的IPsec-VPN连接时,推荐您按照以下原则为IPsec-VPN连接添加路由配置,以提高IPsec-VPN连接的稳定性:

  • 对于一个IPsec-VPN连接下的两条隧道,建议配置相同的路由协议,即仅为IPsec-VPN连接配置静态路由协议或为两条隧道同时配置BGP动态路由协议。

  • 在IPsec-VPN连接配置BGP动态路由协议的情况下,两条隧道的本端自治系统号需保持相同,两条隧道对端的BGP AS号可以不相同,但建议保持相同。

  • 对于一个VPN网关下存在多个IPsec-VPN连接的场景:

    • 如果为多个IPsec-VPN连接同时配置了静态路由,则不同IPsec-VPN连接的目的路由或者策略路由的目标网段之间不能冲突,否则会影响路由生效。

    • 如果为多个IPsec-VPN连接同时配置了BGP动态路由,则VPN网关侧通过多条IPsec-VPN连接学习到的路由条目的目标网段之间不能冲突,否则会影响路由生效。

单隧道模式和多隧道模式差异对比

说明

IPsec-VPN连接升级至双隧道模式后,计费方式不变且无新增费用。

差异点

单隧道模式

双隧道模式

单个IPsec-VPN连接下的隧道数量

一条

两条

关联的交换机数量

创建VPN网关实例时仅需指定一个交换机。

创建VPN网关实例时需指定两个分布在不同可用区的交换机。

高可用性

需通过在VPN网关实例下创建多条IPsec-VPN连接或者创建多个VPN网关实例实现高可用。

通过一个IPsec-VPN连接下的两条隧道即可实现高可用。

配置路由权重值

支持

不支持

健康检查功能

支持

不支持

VPN网关的IP地址

创建VPN网关实例后,系统仅为VPN网关实例分配一个IP地址。

VPN网关使用该IP地址和对端建立IPsec-VPN连接或SSL-VPN连接。

创建VPN网关实例后,系统最多为VPN网关实例分配三个IP地址(指VPN网关实例同时开启IPsec-VPN和SSL-VPN功能的场景),其中IPsec-VPN连接使用两个IP地址,用于建立两条加密隧道,SSL-VPN连接使用一个IP地址用于和客户端建立连接。三个IP地址互不相同。

相关文档

建立VPC到VPC的IPsec-VPN连接(双隧道模式)