全部產品
Search

搜尋本產品

    :通過IPsec-VPN將本機資料中心接入至阿里雲VPC

    文件中心

    :通過IPsec-VPN將本機資料中心接入至阿里雲VPC

    更新時間:Feb 08, 2025

    VPN網關是一款基於Internet的網路連接服務,通過加密通道的方式實現企業資料中心、企業辦公網路或Internet終端與阿里雲Virtual Private Cloud安全可靠的串連。您可以通過IPsec-VPN將本機資料中心接入至阿里雲VPC,實現本機資料中心與VPC資料互連。

    前提條件

    • 檢查本機資料中心的網關裝置是否滿足要求。

      阿里雲VPN網關支援標準的IKEv1和IKEv2協議,本案例需要配置多個網段,需要支援標準的IKEv2協議。常見廠家有山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。

    • 本機資料中心的網關需具備靜態公網IP。
    • 本機資料中心的網段和專用網路的網段不能重疊。

    背景資訊

    樣本圖

    本機資料中心通過IPsec-VPN接入至阿里雲VPC後,通過DTS配置資料移轉、資料同步或資料訂閱時,您可以將本機資料中心部署的自建資料庫作為通過專線/VPN網關/智能網關接入的自建資料庫,以擷取更安全、快速、穩定的網路環境。

    注意事項

    如果已經將本機資料中心接入至阿里雲VPC,您可以跳過本文的配置步驟,僅需執行下述操作:

    1. 將DTS伺服器的IP地址加入至IPsec串連中,詳情請參見修改IPsec串連
      重要 當單擊+添加 本端網段時,您填寫對應地區的DTS伺服器的IP地址,詳情請參見添加DTS伺服器的IP位址區段
    2. 在本地網關裝置中配置IPsec-VPN與靜態路由

    費用說明

    建立VPN網關時將產生費用,詳情請參見計費說明

    步驟一:建立VPN網關

    1. 登入專用網路管理主控台
    2. 在頁面左上方選擇地區。
    3. 在左側導覽列,單擊VPN > VPN網關
    4. VPN網關頁面,單擊建立VPN網關
    5. 根據業務需求,配置VPN網關的規格資訊。
      配置說明
      地區VPN網關的所屬地區。
      重要 確保VPN網關的地區和VPC的地區相同。
      專用網路選擇需要接入的專用網路。
      指定VSwitch是否指定VPN網關建立在哪個虛擬交換器下,非必填。
      頻寬峰值選擇VPN網關的頻寬規格,頻寬規格是VPN網關所具備的公網頻寬。
      IPsec-VPN

      選擇為開啟

      說明 IPsec-VPN功能提供網站到網站的串連。通過建立IPsec隧道可以將本機資料中心網路和專用網路或兩個專用網路安全地串連。
      SSL-VPN

      選擇為關閉

      說明 SSL-VPN提供點到網站的VPN串連,不需要配置客戶網關,終端直接接入。
      計費周期

      固定為按小時,不可變更。

    6. 單擊立即購買,根據提示完成支付流程。

    步驟二:建立使用者網關

    1. 登入專用網路管理主控台
    2. 在頁面左上方,選擇VPN網關所屬地區。
    3. 在左側導覽列,單擊VPN > 使用者網關
    4. 單擊建立使用者網關
    5. 在彈出的對話方塊中,根據以下資訊配置使用者網關。
      建立使用者網關
      配置說明
      名稱填寫使用者網關名稱,建議配置具有業務意義的名稱以方便識別。
      重要
      • 以大寫字母、小寫字母或中文開頭,可包含數字、底線(_)或短劃線(-)。
      • 長度為2~128個字元。
      IP地址本機資料中心網關裝置的靜態公網IP地址。
      描述長度為2~256個字元,不能以http://https://開頭。
    6. 單擊確定

    步驟三:建立IPsec串連並發布路由

    1. 登入專用網路管理主控台
    2. 在頁面左上方,選擇VPN網關所屬地區。
    3. 在左側導覽列,單擊VPN > IPsec串連
    4. 單擊建立IPsec串連
    5. 在彈出的建立IPsec串連對話方塊中,根據以下資訊配置IPsec串連。
      建立IPsec串連
      配置說明
      名稱IPsec串連的名稱。
      說明 長度為2~128個字元,以英文字母或中文開始,可包含數字,短劃線(-)和底線(_)。
      VPN網關選擇待串連的VPN網關。本案例選擇在步驟一中建立的VPN網關。
      使用者網關選擇待串連的使用者網關。本案例選擇在步驟二中建立的使用者網關。
      本端網段填寫需要和本機資料中心互連的VPC側網段,用於第二階段協商。
      重要
      • 您可以根據業務需求,填寫整個VPC網段或VPC中某個交換器網段。例如本案例中填寫VPC中某個交換器網段:172.16.88.0/24。
      • 填寫的本端網段不能和對端網段有重疊。
      +添加 本端網段添加多個需要和本機資料中心互連的VPC側網段。本案例中,填寫DTS伺服器的IP地址,詳情請參見添加DTS伺服器的IP位址區段
      重要 添加多個本端網段時,需要將進階配置中的版本選擇為ikev2
      對端網段填寫需要和VPC互連的本機資料中心側的網段,用於第二階段協商。
      重要 填寫的對端網段不能和本端網段有重疊。
      +添加 對端網段添加多個需要和VPC互連的本地IDC側的網段。
      重要 添加多個對端網段時,需要將進階配置中的版本選擇為ikev2
      立即生效選擇是否立即生效。
      • :配置完成後立即進行協商。
      • :當有流量進入時進行協商。
      進階配置更多參數詳細的說明,請參見建立IPsec串連
      健全狀態檢查
    6. 單擊確定
    7. 在彈出的建立成功對話方塊中,單擊確定,前往配置VPN網關的路由資訊。
    8. 在跳轉到的VPN網關頁面中,單擊目的路由表頁簽中的添加路由條目
    9. 在彈出的添加路由條目對話方塊中,根據以下資訊配置路由資訊。
      添加路由條目
      配置說明
      目標網段輸入本機資料中心的私網網段。本案例中,填寫192.168.10.0/24。
      下一跳類型選擇IPsec串連
      下一跳選擇剛建立的IPsec串連執行個體。
      發布到VPC選擇是否將新添加的路由發布到VPC路由表。
      • (推薦):將新添加的路由發布到VPC路由表。
      • :不發布新添加的路由到VPC路由表。
        重要 如果您選擇否,添加目的路由後,您還需在目的路由表中發布路由。
      權重選擇權重值:
      • 100:優先順序高。
      • 0:優先順序低。
      重要 目的網段相同的目的路由,不支援同時設定權重值為100。

    步驟四:在本地網關裝置中配置IPsec-VPN與靜態路由

    1. 登入專用網路管理主控台
    2. 在頁面左上方,選擇VPN網關所屬地區。
    3. 在左側導覽列,單擊VPN > IPsec串連
    4. 找到目標IPsec串連,單擊對應操作列中的更多操作 > 下載對端配置
      下載對端配置
    5. 在彈出的IPsec串連配置對話方塊中,詳細展示了對端配置資訊。
      對端配置資訊
    6. 根據本地網關裝置的配置要求,將對端配置添加到本地網關裝置中。
    7. 在本地網關裝置中,添加靜態路由:目的地址為DTS伺服器的IP地址,詳情請參見添加DTS伺服器的IP位址區段,下一跳為新增的IPsec-VPN隧道介面。

    相關文檔

    如果IPsec連結失敗或網路不通,排查方法請參見IPsec常見問題