¶ IPsec-VPN入门
¶ 背景信息
IPsec连接支持绑定VPN网关实例和转发路由器实例。本文仅介绍IPsec连接绑定VPN网关实例的场景下IPsec-VPN的使用流程,帮助您快速上手。
¶ 环境要求
建立VPC与本地数据中心的IPsec-VPN连接前,请确保您的环境满足以下条件:
- IPsec连接绑定公网网络类型的VPN网关实例时,本地数据中心的网关设备必须配置公网IP地址。
对于支持IPsec-VPN连接双隧道模式的地域,推荐本地数据中心的网关设备配置2个公网IP地址或者本地数据中心拥有两个本地网关设备,每个本地网关设备均拥有一个公网IP地址,以建立高可用的IPsec-VPN连接。
- 本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和VPN网关建立IPsec-VPN连接。
- 本地数据中心和VPC间互通的网段没有重叠。
- 您已了解VPC中所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。
¶ 使用流程
- 创建VPN网关
VPN网关开启IPsec-VPN功能,一个VPN网关可以建立多条IPsec连接。
- 创建用户网关
通过创建用户网关,您可以将本地数据中心网关设备的信息注册到阿里云上。
- 创建IPsec连接
IPsec连接是指VPN网关和本地数据中心网关设备建立连接后的VPN通道。只有建立IPsec连接后,本地数据中心才能使用VPN网关进行加密通信。
- 配置本地网关设备
您需要在本地数据中心的网关设备中添加VPN配置。具体操作,请参见本地网关配置。
- 配置VPN网关路由
您需要在VPN网关中配置路由,并发布路由到VPC路由表以实现本地数据中心和VPC的通信。更多信息,请参见网关路由概述。
- 测试连通性
登录到阿里云VPC内一台无公网IP的ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。
¶ 建立VPC到本地数据中心的连接(单隧道模式)
更新时间:2024-04-11 09:51:20
本文介绍如何使用公网网络类型的VPN网关在专有网络VPC(Virtual Private Cloud)和本地数据中心之间建立IPsec-VPN连接(单隧道模式),实现本地数据中心与VPC之间的加密通信。
¶ 环境要求
IPsec连接绑定公网网络类型的VPN网关实例时,本地数据中心的网关设备必须配置公网IP地址。
本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和转发路由器建立IPsec-VPN连接。
本地数据中心的网段与待访问的网段没有重叠。
¶ 场景示例
本文以下图场景示例。某公司在阿里云创建了VPC,网段为192.168.0.0/16。本地数据中心的网段为172.16.0.0/12,本地网关设备的公网IP为211.XX.XX.68。公司因业务发展,需要本地数据中心与云上VPC互通。您可以通过IPsec-VPN,建立本地数据中心与云上VPC的连接,实现云上和云下的加密通信。
¶ 准备工作
您已经在阿里云创建了VPC,VPC中使用云服务器ECS(Elastic Compute Service)部署了相关业务。您已经了解VPC中的ECS实例所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。
¶ 步骤一:创建VPN网关
- 登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关的地域。
VPN网关的地域需和待关联的VPC实例的地域相同。
在VPN网关页面,单击创建VPN网关。
在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
| 配置项 | 说明 |
| 实例名称 |
输入VPN网关实例的名称。 本文输入VPN网关1。 |
| 资源组 |
选择VPN网关实例所属的资源组。如果不选择,VPN网关实例创建后将归属于默认资源组。 本文保持为空。 |
| 地域和可用区 |
选择VPN网关实例所属的地域。 说明 请确保VPN网关实例的地域和VPC实例的地域相同。 |
| 网关类型 |
选择VPN网关实例的类型。 本文选择普通型。 |
| 网络类型 |
选择VPN网关实例的网络类型。 本文选择公网。 |
| 隧道 |
系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。 单隧道 双隧道 关于IPsec-VPN连接隧道模式的说明,请参见【升级公告】IPsec-VPN连接升级为双隧道模式。 |
| VPC | 选择VPN网关实例关联的VPC实例。 |
| 虚拟交换机 |
从VPC实例中选择一个交换机实例。 IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。 IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。 说明 系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。 创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机以及交换机所属可用区的信息。 |
| 虚拟交换机2 | IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。 |
| 带宽规格 | 选择VPN网关实例的公网带宽峰值。单位:Mbps。 |
| IPsec-VPN |
选择开启或关闭IPsec-VPN功能。 本文选择开启。 |
| SSL-VPN |
选择开启或关闭SSL-VPN功能。 本文选择关闭。 |
| 计费周期 |
选择购买时长。 您可以选择是否自动续费: 按月购买:自动续费周期为1个月。 按年购买:自动续费周期为1年。 |
| 服务关联角色 |
单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。 VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。 若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。 |
更多参数信息,请参见创建VPN网关实例。
返回VPN网关页面,查看创建的VPN网关。
刚创建好的VPN网关的状态是准备中,约1~5分钟左右会变成正常状态。正常状态表明VPN网关已经完成了初始化,可以正常使用。
¶ 步骤二:创建用户网关
在左侧导航栏,选择网间互联 > VPN > 用户网关。
在顶部菜单栏,选择用户网关的地域。
说明
用户网关的地域必须和要连接的VPN网关的地域相同。
在用户网关页面,单击创建用户网关。
在创建用户网关面板,根据以下信息配置用户网关,然后单击确定。
以下仅列举本文强相关配置项,其余配置保持默认值或为空。更多信息,请参见创建和管理用户网关。
名称:输入用户网关的名称。
本文输入用户网关1。
IP地址:输入VPC要连接的本地数据中心的网关设备的公网IP。
本文输入211.XX.XX.68。
¶ 步骤三:创建IPsec连接
在左侧导航栏,选择网间互联 > VPN > IPsec连接。
在顶部菜单栏,选择IPsec连接的地域。
说明
IPsec连接的地域必须和要连接的VPN网关的地域相同。
在IPsec连接页面,单击创建IPsec连接。
在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定。
| 配置项 | 配置项说明 |
| 名称 |
输入IPsec连接的名称。 本文输入IPsec连接1。 |
| 资源组 |
选择VPN网关实例所属的资源组。 本文选择默认资源组。 |
| 绑定资源 |
选择IPsec连接绑定的资源类型。 本文选择VPN网关。 |
| VPN网关 |
选择已创建的VPN网关实例。 本文选择VPN网关1。 |
| 路由模式 |
选择路由模式。 本文选择目的路由模式。 |
| 立即生效 |
选择是否立即生效。 是:配置完成后立即进行协商。 否:当有流量进入时进行协商。 本文选择是。 |
| 用户网关 |
选择已创建的用户网关实例。 本文选择用户网关1。 |
| 启用BGP |
如果IPsec连接需要使用BGP路由协议,需要打开BGP功能的开关,系统默认关闭BGP功能。 本文不开启BGP功能。 |
| 预共享密钥 |
输入预共享密钥。 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接。 重要 IPsec连接及其对端网关设备配置的预共享密钥需一致,否则系统无法正常建立IPsec-VPN连接。 |
| 加密配置 | 本文使用IKEv1版本,其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接(单隧道模式)。 |
| 健康检查 | 本文保持默认值,不为IPsec连接配置健康检查。 |
| 标签 |
为IPsec连接添加标签。 本文保持为空。 |
在创建成功对话框中,单击确定。
¶ 步骤四:在本地网关设备中加载VPN配置
在左侧导航栏,选择网间互联 > VPN > IPsec连接。
在IPsec连接页面,找到目标IPsec连接实例,然后在操作列单击生成对端配置。
根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见本地网关配置。
¶ 步骤五:配置VPN网关路由
在左侧导航栏,选择网间互联 > VPN > VPN网关。
在VPN网关页面,找到目标VPN网关实例,单击实例ID。
在目的路由表页签,单击添加路由条目。
在添加路由条目面板,根据以下信息配置目的路由,然后单击确定。
| 配置项 | 配置说明 |
|---|
| 配置项 | 配置说明 |
| 目标网段 |
输入待互通的目标网段。 本文输入172.16.0.0/12。 |
| 下一跳类型 |
选择下一跳的类型。 本文选择IPsec连接。 |
| 下一跳 | 选择IPsec连接。 |
| 发布到VPC |
选择是否将新添加的路由条目发布到VPN网关关联的VPC路由表。 本文选择是。 |
| 权重 |
选择路由条目的权重值。 100:高优先级。 0:低优先级。 本文保持默认值100。 |
¶ 步骤六:测试连通性
登录到VPC内一台无公网IP的ECS实例。关于如何登录ECS实例,请参见连接方式概述。
执行ping命令,访问本地数据中心内的一台服务器,验证通信是否正常。
如果能够收到回复报文,则证明通信正常。