IPsec连接绑定转发路由器的场景下,之前IPsec-VPN连接仅拥有一条加密隧道,如果您的网络中不存在冗余链路,在隧道故障后会直接导致网络中断。为提高IPsec-VPN连接的高可用性,阿里云已将IPsec-VPN连接升级为双隧道模式,一个IPsec-VPN连接下将包含两条隧道,两条隧道自动形成ECMP(Equal-Cost Multipath Routing)链路,在一条隧道故障后,流量可以通过另一条隧道进行传输,实现IPsec-VPN连接的高可用。在支持多可用区的地域,IPsec-VPN连接的两条隧道会自动分布在不同可用区,提供可用区级别的容灾能力。
使用限制
IPsec连接绑定转发路由器的场景下,双隧道模式的IPsec-VPN连接功能公测中,在使用前,请确保您已经向客户经理申请了使用权限。
目前仅泰国(曼谷)、菲律宾(马尼拉)、德国(法兰克福)、英国(伦敦)、华北6(乌兰察布)地域支持创建双隧道模式的IPsec-VPN连接。您在这些地域创建IPsec-VPN连接后,默认为双隧道模式,这些地域不再支持创建单隧道模式的IPsec-VPN连接。
说明如果VPN网关控制台支持双隧道模式IPsec-VPN连接的地域与文档中描述的不一致,以VPN网关控制台显示为准。
对于不支持IPsec-VPN连接双隧道模式的地域,默认仅能创建单隧道模式的IPsec-VPN连接。
双隧道组网说明
单隧道模式的IPsec-VPN连接仅拥有一条隧道,如果您的网络中不存在冗余链路,在隧道故障后会直接导致网络中断。一个双隧道模式的IPsec-VPN连接拥有两条加密隧道,会自动形成ECMP链路,两条隧道均支持流量转发。在一条隧道中断后,流量可以切换至另一条隧道进行传输。
创建双隧道模式的IPsec-VPN连接时,系统会自动将两条隧道部署在不同的可用区,以实现IPsec-VPN连接可用区级别的容灾。在仅支持一个可用区的地域 ,双隧道模式IPsec-VPN连接的两条隧道会被部署在同一个可用区,不支持可用区级别的容灾,但依旧拥有链路冗余能力。
创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,将无法体验IPsec-VPN连接链路冗余能力以及可用区级别的容灾能力。
流量传输说明
从转发路由器去往本地数据中心的方向
在IPsec-VPN连接两条隧道同时可用的状态下,会组成ECMP链路,系统将会通过两条隧道向本地数据中心传输流量,两条隧道的流量分布是随机的,非均匀分布。在一条隧道故障时,系统会自动通过另一条隧道传输流量。
从本地数据中心去往转发路由器的方向
该方向的流量路径依赖于本地数据中心的路由配置。
由于阿里云通过两条隧道向本地数据中心传输流量,流量在两条隧道的分布是随机的,因此推荐您配置ECMP路由使本地数据中心去往云上的流量同时通过两条隧道传输。如果您配置了主备路由或者配置路由使某一网段流量仅通过一条隧道传输至云上,则可能会导致云上的流量无法按照您期望的路径传输至本地数据中心。
双隧道模式路由配置原则
在使用双隧道模式的IPsec-VPN连接时,推荐您按照以下原则为IPsec-VPN连接添加路由配置,以提高IPsec-VPN连接的稳定性:
推荐使用BGP动态路由方式。如果需要使用静态路由方式,请确保本地网关设备支持配置静态ECMP路由,否则本地数据中心去往阿里云的流量无法通过ECMP路径进行传输,云上的流量却能通过ECMP路径传输至本地数据中心,可能会导致流量的传输路径不符合您的期望。
对于一个IPsec-VPN连接下的两条隧道,建议配置相同的路由协议,即仅为IPsec-VPN连接配置静态路由协议或为两条隧道同时配置BGP动态路由协议。
在IPsec-VPN连接配置BGP动态路由协议的情况下,两条隧道的本端自治系统号需保持相同,两条隧道对端的BGP AS号可以不相同,但建议保持相同。
单隧道和双隧道的区别
IPsec-VPN连接升级至双隧道模式后,计费方式不变且无新增费用。
差异点 | 单隧道模式 | 双隧道模式 |
单个IPsec-VPN连接下的隧道数量 | 1条 | 2条 |
单个IPsec-VPN连接支持的带宽规格 | 1000 Mbps | 2000 Mbps 每条隧道支持的最大带宽规格为1000 Mbps。支持通过其他方式扩大IPsec-VPN连接的带宽。更多信息,请参见如何扩大IPsec-VPN连接的带宽?。 |
关联的用户网关数量 | 1个 | 2个 两条隧道支持关联相同或不同的用户网关实例。 |
高可用性 | 需通过创建多条IPsec-VPN连接实现高可用。 | 通过一个IPsec-VPN连接下的两条隧道即可实现高可用。 |
健康检查功能 | 支持 | 不支持 一个IPsec-VPN连接下的两条隧道会自动形成ECMP链路,均支持流量转发,在一条隧道中断后,系统会自动撤销该隧道的路由发布,流量可以通过另一条隧道进行传输,无需再通过健康检查功能切换链路。 |
网关IP地址 | 创建IPsec连接后,系统为IPsec连接分配一个网关IP地址,用于创建IPsec-VPN连接。 | 创建IPsec连接后,系统会为IPsec连接分配两个网关IP地址,用于创建双隧道模式的IPsec-VPN连接。 |
本地数据中心网关设备需具备的IP地址数量 | 1个 | 1个或2个 推荐本地数据中心的网关设备使用2个IP地址与阿里云建立双隧道模式的IPsec-VPN连接。或者本地数据中心使用两个本地网关设备与阿里云建立双隧道模式的IPsec-VPN连接,每个本地网关设备使用一个IP地址。 |
支持BGP动态路由的地域 | 仅部分地域支持BGP动态路由功能。具体信息,请参见支持BGP动态路由功能的地域。 | 支持双隧道模式IPsec-VPN连接的地域默认支持BGP动态路由协议。 |