升级IPsec-VPN连接为双隧道模式

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

双隧道模式的IPsec-VPN连接拥有主备两条隧道,在主隧道故障后,流量可以通过备隧道进行传输,提高了IPsec-VPN连接的高可用性。本文介绍如何将IPsec-VPN连接升级为双隧道模式。

背景信息

升级IPsec-VPN连接为双隧道模式前,建议您先了解双隧道模式的组网拓扑、流量传输路径等信息。相关文档,请参见【升级公告】IPsec-VPN连接升级为双隧道模式

支持的地域和可用区

以下地域和可用区的IPsec-VPN连接支持升级为双隧道模式。

地域

可用区

华东1(杭州)

K、J、I、H、G

华东2(上海)

K、L、M、N、B、D、E、F、G

华东5(南京-本地地域)

A

华东6(福州-本地地域)

A

华中1(武汉-本地地域)

A

华南1(深圳)

A(已停止售卖)、E、D、F

华南2(河源)

A、B

华南3(广州)

A、B

华北1(青岛)

B、C

华北2(北京)

F、E、H、G、A、C、J、I、L、K

华北3(张家口)

A、B、C

华北5(呼和浩特)

A、B

华北6(乌兰察布)

A、B、C

西南1(成都)

A、B

中国香港

B、C、D

新加坡

A、B、C

泰国(曼谷)

A

日本(东京)

A、B、C

韩国(首尔)

A

菲律宾(马尼拉)

A

印度尼西亚(雅加达)

A、B、C

马来西亚(吉隆坡)

A、B

英国(伦敦)

A、B

德国(法兰克福)

A、B、C

美国(硅谷)

A、B

美国(弗吉尼亚)

A、B

澳大利亚(悉尼)关停中

B

阿联酋(迪拜)

A

华东1金融云

K、J、I、H

华东2金融云

F、G、Z、K

华南1金融云

D、E

华北2金融云(邀测)

K、L

升级环境要求

在IPsec-VPN连接升级为双隧道模式前,需确保满足以下要求:

  • 阿里云账号下已创建了AliyunServiceRoleForVpn服务关联角色。

    升级过程中,系统需要通过AliyunServiceRoleForVpn服务关联角色完成VPN网关资源的部署。您可以在VPN网关实例购买页面查看当前阿里云账号下是否已创建AliyunServiceRoleForVpn服务关联角色:

    • 如果页面显示已创建,则表示阿里云账号下已存在AliyunServiceRoleForVpn服务关联角色,无需再创建。

    • 如果页面提示创建服务关联角色,请单击创建服务关联角色,系统会自动完成AliyunServiceRoleForVpn服务关联角色的创建。更多信息,请参见AliyunServiceRoleForVpn

    服务关联角色

  • VPN网关实例不能同时开启IPsec-VPN和SSL-VPN功能。

    如果VPN网关实例同时开启了IPsec-VPN和SSL-VPN功能,您可以通过降配关闭IPsec-VPN功能或SSL-VPN功能。具体操作,请参见降配

    关闭功能前,请确保VPN网关实例下不存在IPsec连接或SSL服务端。具体操作,请参见删除IPsec连接删除SSL服务端

  • VPN网关实例的策略路由表或目的路由表下不能存在指向不同IPsec-VPN连接的相同路由。

    下表举例说明并提供相应解决方案。

    路由表

    源网段

    目标网段

    下一跳

    是否可以升级

    解决方案

    策略路由表

    10.10.10.0/24

    172.16.10.0/24

    IPsec连接1

    不可以

    因为策略路由表下存在两条源网段和目标网段均相同,下一跳指向不同IPsec-VPN连接的路由。

    删除一条路由或者修改其中一条路由的源网段或者目标网段。具体操作,请参见配置策略路由

    10.10.10.0/24

    172.16.10.0/24

    IPsec连接2

    目的路由表

    不涉及

    192.168.10.0/24

    IPsec连接3

    不可以

    因为目的路由表下存在两条目标网段相同,下一跳指向不同IPsec-VPN连接的路由。

    删除一条路由或者修改其中一条路由的目标网段。具体操作,请参见配置目的路由

    不涉及

    192.168.10.0/24

    IPsec连接4

  • VPN网关实例关联的VPC实例路由表下不能存在目标网段为SSL服务端客户端网段的子网或者IPsec服务端客户端网段的子网,下一跳指向VPN网关实例的路由。

    例如一个SSL服务端的客户端网段为192.168.10.0/24,则VPN网关关联的VPC实例的路由表下不能存在目标网段为192.168.10.0/25或192.168.10.0/26等子网,下一跳指向VPN网关实例的路由。

    您可以管理VPC实例路由表下的自定义路由。具体操作,请参见创建和管理路由表

  • 如果VPN网关实例下存在多个IPsec-VPN连接,在多个IPsec-VPN连接均使用BGP动态路由协议的情况下,每个IPsec-VPN连接的BGP隧道网段需互不相同。

    您可以修改BGP隧道网段。具体操作,请参见修改IPsec连接

  • 您需要从VPN网关实例关联的VPC实例下指定两个交换机实例,并确保交换机实例下拥有足够数量的空闲IP地址。

    • 在您指定交换机实例时,交换机实例所属的可用区必须是支持创建双隧道模式IPsec-VPN连接的可用区。关于可用区详情,请参见支持的地域和可用区

    • 如果当前地域下有多个可用区均支持创建双隧道模式的IPsec-VPN连接,则您指定的两个交换机实例必须属于不同的可用区,以实现IPsec-VPN连接可用区级别的容灾。每个交换机实例下需有2个空闲的IP地址。

    • 如果当前地域下仅有一个可用区支持创建双隧道模式的IPsec-VPN连接,则您需要从该可用区下指定两个交换机实例:

      • 如果您指定了相同的交换机实例,请确保该交换机实例下拥有4个空闲的IP地址。

      • 如果您指定了2个不同的交换机实例,请确保每个交换机实例下拥有2个空闲的IP地址。

升级过程说明

警告

VPN网关升级期间无法提供服务,已有连接也会中断。建议您在网络维护窗口期间进行升级,以免影响业务运行。

  • 升级过程约持续10分钟,在此期间VPN网关实例不支持转发流量。

  • 升级期间VPN网关实例不支持操作。

升级操作

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,找到目标VPN网关实例,单击实例ID。

  4. 在VPN网关实例页面的右上角,单击开启AZ级高可靠

  5. 开启AZ级高可靠对话框,指定交换机实例然后开启升级环境校验,确保环境满足升级要求并了解升级风险后,单击立即开启

    • 如果升级环境校验失败,请参见升级环境要求排查问题。

    • 单击立即开启后,系统将直接开始升级,请耐心等待。

后续步骤

  • 在VPN网关实例关联的VPC实例接入了云企业网的场景下,如果VPC实例的路由表中存在指向VPN网关实例的自定义路由条目,且该路由条目已经被发布至云企业网,则升级完成后,该路由条目会变成未发布状态,您需要重新将该路由条目发布至云企业网。具体操作,请参见发布路由至转发路由器

    2024-02-22_16-46-49

  • 如果VPN网关实例保留了IPsec-VPN功能,则升级完成后,IPsec-VPN连接的备隧道默认不可用,您需要在IPsec连接的对端网关设备上添加相关配置使备隧道可用。具体操作,请参见建立VPC到本地数据中心的连接(双隧道模式)建立VPC到本地数据中心的连接(双隧道模式和BGP路由)

    • 升级完成后,VPN网关实例会拥有2个IPsec地址,其中一个地址是VPN网关实例已经拥有的地址(即升级前的VPN网关IP地址),另一个是系统为VPN网关实例新分配的地址,这2个地址用于建立两条加密隧道。升级-VPN网关.png

    • 升级完成后,一个IPsec连接实例下将拥有主备两条隧道,两条隧道默认关联相同的用户网关实例。主隧道默认为升级前的隧道,升级前后配置保持不变。备隧道默认不可用。升级-隧道.png

  • 如果VPN网关实例保留了SSL-VPN功能,则升级完成后,SSL-VPN相关配置保持不变。您可以打开VPN网关实例的IPsec-VPN功能然后开始创建双隧道模式的IPsec-VPN连接。具体操作,请参见操作步骤创建和管理IPsec连接(双隧道模式)

    升级完成后,VPN网关IP地址将变成SSL地址,仅能用于SSL-VPN功能。在您开启IPsec-VPN功能后,系统将为VPN网关实例重新分配2个IPsec地址用于建立双隧道模式的IPsec-VPN连接。升级-SSL.png

重要

使用双隧道模式的IPsec-VPN连接时,请确保主备隧道同时可用,如果您仅配置或仅使用了其中一条隧道,则无法体验双隧道模式IPsec-VPN连接的主备链路冗余能力以及可用区级别的容灾能力。