組合使用IPsec-VPN和物理專線實現主備鏈路上雲 - VPN Gateway

本文介紹如何組合使用IPsec-VPN和物理專線，實現本機資料中心IDC（Internet Data Center）通過主備鏈路上雲並和雲上Virtual Private Cloud（Virtual Private Cloud）互連。

情境說明

本文以下圖情境為例，為您介紹IPsec-VPN聯合物理專線實現主備鏈路上雲方案。某企業在杭州擁有一個本地IDC，且企業已經在阿里雲華東1（杭州）地區部署了業務VPC1，VPC1中通過Elastic Compute Service（Elastic Compute Service）等雲產品部署了應用業務和資料分析服務，用於後續業務互動和資料分析。企業現在需要部署上雲的主備鏈路，以實現雲下IDC和雲上VPC1的互聯互連。鏈路說明如下：

建立物理專線作為第一條鏈路，本地IDC通過物理專線和轉寄路由器串連VPC1。
建立VPN網關作為第二條鏈路，VPN網關關聯至一個獨立的VPC（VPC2），VPC2中不部署任何業務，僅作為中轉VPC為本地IDC和雲上搭建IPsec-VPN鏈路，本地IDC通過IPsec-VPN串連和轉寄路由器串連VPC1。
- 在物理專線和IPsec-VPN串連均正常啟動並執行情況下，轉寄路由器可以通過物理專線和IPsec-VPN串連同時學習到本地IDC的網段，轉寄路由器預設通過物理專線學習到的路由的優先順序高於通過IPsec-VPN串連學習到的路由，因此VPC1執行個體去往本地IDC的流量預設通過物理專線傳輸。
- 當物理專線異常時，轉寄路由器下會自動撤銷通過物理專線學習到的路由，通過IPsec-VPN串連學習到的路由會自動生效，VPC1執行個體去往本地IDC的流量會通過IPsec-VPN串連進行傳輸；當物理專線恢複後，VPC1執行個體去往本地IDC的流量會重新通過物理專線進行傳輸，IPsec-VPN串連會重新成為備用鏈路。

準備工作

您需要為本地IDC和網路執行個體規劃路由協議。本文路由協議規劃如下：
- 本地IDC網關裝置與VPN網關之間配置靜態路由。
- 本地IDC網關裝置與邊界路由器VBR（Virtual border router）之間運行BGP動態路由協議。
  說明
  在VPN網關作為物理專線備份鏈路的情境下，VBR必須使用BGP動態路由協議，VPN網關可以使用靜態路由或BGP動態路由協議。

您需要為本地IDC和網路執行個體規劃網段，請確保網段之間沒有重疊。本文網段規劃如下。

配置目標	網段規劃	IP地址
VPC1	192.168.0.0/16	雲端服務器地址：192.168.20.161
VPC2	10.0.0.0/16	不涉及
VBR	10.1.0.0/30	VLAN ID：0 阿里雲側IPv4互聯IP：10.1.0.1/30 客戶側IPv4互聯IP：10.1.0.2/30 本文中客戶側指本地IDC的網關裝置
本地IDC	172.16.0.0/16	用戶端地址：172.16.1.188
本地IDC的網關裝置	10.1.0.0/30	公網IP地址：211.XX.XX.68 與物理專線串連的連接埠IP地址：10.1.0.2/30 BGP AS號：65530

您已經在阿里雲華東1（杭州）地區建立了VPC1和VPC2。其中，VPC1部署有應用業務和資料分析服務；VPC2暫不部署業務，僅關聯VPN網關，作為中轉VPC為雲下和雲上搭建VPN鏈路。具體操作，請參見建立和管理專用網路。
請檢查本地IDC網關裝置，確保網關裝置支援標準的IKEv1和IKEv2協議，以便和阿里雲VPN網關建立串連。關於網關裝置是否支援標準的IKEv1和IKEv2協議，請諮詢網關裝置廠商。
您已經為本地IDC網關裝置配置了靜態公網IP。
您已經瞭解VPC1中的ECS執行個體所應用的安全性群組規則，並確保安全性群組規則允許本地IDC訪問VPC1中的ECS執行個體。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。

步驟一：部署物理專線

建立物理專線。
您需要在華東1（杭州）地區申請一條物理專線。具體操作，請參見申請傳統模式或共用專線接入流程。
建立VBR。
1. 登入Express Connect管理主控台。
2. 在左側導覽列，單擊邊界路由器（VBR）。
3. 在頂部狀態列，選擇要建立的VBR的地區。
  本樣本選擇華東1（杭州）地區。
4. 在邊界路由器（VBR）頁面，單擊建立邊界路由器。
5. 在建立邊界路由器面板，根據以下資訊進行配置，然後單擊確定。
  - 帳號類型：本樣本選擇當前帳號。
  - 名稱：本樣本輸入VBR。
  - 物理專線介面：選擇已申請的物理專線介面。
  - VLAN ID：0。
  - 设置VBR带宽值：選擇VBR執行個體的頻寬峰值。
  - 阿里雲側IPv4互聯IP：10.1.0.1。
  - 客戶側IPv4互聯IP：10.1.0.2。
  - IPv4子網路遮罩：255.255.255.252。
配置BGP組。
1. 在邊界路由器（VBR）頁面，單擊VBR執行個體ID。
2. 在邊界路由器執行個體詳情頁面，單擊BGP組頁簽。
3. 單擊建立BGP組，根據以下資訊配置BGP組，然後單擊確定。
  - 名稱：BGP組的名稱。本樣本輸入test。
  - Peer AS號：本地IDC側網關裝置的AS號。本樣本輸入65530。
  - BGP密鑰：BGP組的密鑰。本樣本不配置該項。
  - 描述：BGP組的描述資訊。本樣本輸入test。
配置BGP鄰居。
1. 在邊界路由器執行個體詳情頁面，單擊BGP鄰居頁簽。
  在BGP鄰居頁簽下，單擊建立BGP鄰居。
2. 在建立BGP鄰居面板，配置BGP鄰居資訊，然後單擊確定。
  - BGP組：選擇要加入的BGP組。本樣本選擇已建立的BGP組。
  - BGP鄰居IP：BGP鄰居的IP地址。本樣本輸入本地IDC側網關裝置的連接埠IP地址10.1.0.2。

步驟二：部署VPN網關

建立VPN網關。
1. 登入VPN網關管理主控台。
2. 在頂部功能表列，選擇華東1（杭州）地區。
3. 在VPN網關頁面，單擊建立VPN網關。
4. 在購買頁面，根據以下資訊配置VPN網關，然後單擊立即購買並完成支付。
  - 執行個體名稱：輸入VPN網關的執行個體名稱。
  - 地區：選擇VPN網關的地區。
    本樣本將VPN網關關聯到VPC2上，確保VPC2和VPN網關的地區相同。本樣本選擇華東1（杭州）。
  - 網關類型：選擇要建立的VPN網關類型。本樣本選擇普通型。
  - 網路類型：選擇VPN網關執行個體的網路類型。本樣本選擇公網。
  - 隧道：系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。
  - 專用網路：選擇要串連的VPC。本樣本選擇VPC2。
  - 虛擬交換器1：從VPC執行個體中選擇一個交換器執行個體。
    IPsec-VPN串連的隧道模式為單隧道時，您僅需要指定一個交換器執行個體。
    IPsec-VPN串連的隧道模式為雙隧道時，您需要指定兩個交換器執行個體。
    IPsec-VPN功能開啟後，系統會在兩個交換器執行個體下各建立一個彈性網卡ENI（Elastic Network Interfaces），作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。
    說明
    系統預設幫您選擇第一個交換器執行個體，您可以手動修改或者直接使用預設的交換器執行個體。
    建立VPN網關執行個體後，不支援修改VPN網關執行個體關聯的交換器執行個體，您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
  - 虛擬交換器2：從VPC執行個體中選擇第二個交換器執行個體。
    IPsec-VPN串連的隧道模式為單隧道時，無需配置該項。
  - 頻寬峰值：選擇VPN網關的頻寬規格，頻寬規格是VPN網關所具備的公網頻寬。
  - 流量：VPN網關預設按使用流量計費。更多資訊，請參見計費說明。
  - IPsec-VPN：選擇開啟或關閉IPsec-VPN功能，IPsec-VPN功能可以在本地IDC與VPC之間或不同VPC之間建立串連。本樣本選擇開啟。
  - SSL-VPN：選擇開啟或關閉SSL-VPN功能，SSL-VPN功能允許您從任何位置的單台電腦串連到VPC。本樣本選擇關閉。
  - 購買時間長度：VPN網關預設按小時計費。
  - 服務關聯角色：單擊建立關聯角色，系統自動建立服務關聯角色AliyunServiceRoleForVpn。
    更多資訊，請參見AliyunServiceRoleForVpn。若本配置項顯示為已建立，則表示您當前帳號下已建立了該角色，無需重複建立。
5. 返回VPN網關頁面，查看建立的VPN網關並記錄VPN網關公網IP地址，用於後續本地IDC側路由配置。
  剛建立好的VPN網關的狀態是準備中，約1～5分鐘會變成正常狀態。正常狀態表明VPN網關完成了初始化，可以正常使用。
建立使用者網關。
1. 在左側導覽列，選擇網間互聯 > VPN > 使用者網關。
2. 在使用者網關頁面，單擊建立使用者網關。
3. 在建立使用者網關面板，根據以下資訊配置使用者網關，然後單擊確定。
  - 名稱：輸入使用者網關的名稱。
  - IP地址：輸入VPC2要串連的本地IDC的網關裝置的公網IP。本樣本輸入211.XX.XX.68。
  - 自治系統號：本地IDC網關裝置的自治系統號。本樣本無需配置該參數。
  - 描述：輸入使用者網關的描述資訊。
建立IPsec串連。
1. 在左側導覽列，選擇網間互聯 > VPN > IPsec串連。
2. 在IPsec串連頁面，單擊綁定VPN網關。
3. 在建立IPsec串連(VPN)頁面，根據以下資訊配置IPsec串連，然後單擊確定。
  - IPsec串連名稱：輸入IPsec串連的名稱。
  - 地區：選擇IPsec串連要綁定的VPN網關執行個體的地區。
  - 綁定VPN網關：選擇已建立的VPN網關。
  - 路由模式：選擇路由模式。本樣本選擇目的路由模式。
  - 立即生效：選擇是否立即生效。本樣本選擇否。
    - 是：配置完成後立即進行協商。
    - 否：當有流量進入時進行協商。
  - 使用者網關：選擇已建立的使用者網關。
  - 預先共用金鑰：輸入共用密鑰，本地IDC網關裝置的預先共用金鑰必須與該值一致。本樣本使用預設產生的隨機值。
  - 加密配置：本文使用IKEv1版本，其餘選項使用預設配置。
  更多資訊，請參見IPsec串連（單隧道模式）。
配置VPN網關路由。
您需要在VPN網關中將本地IDC的路由發布到VPC2中。
1. IPsec串連建立成功後，在建立成功對話方塊，單擊確定，去往VPN網關執行個體中進行路由發布。
2. 在左側導覽列，選擇網間互聯 > VPN > VPN網關。
3. 在VPN網關頁面，找到目標VPN網關，單擊目標執行個體ID。
4. 在目的路由表頁簽，單擊添加路由條目。
5. 在添加路由條目面板，根據以下資訊配置目的路由，然後單擊確定。
  - 目標網段：輸入本地IDC的網段。本樣本輸入172.16.0.0/16。
  - 下一跳類型：選擇IPsec串連。
  - 下一跳：選擇已建立的IPsec串連執行個體。
  - 發布到專用網路：選擇是否將新添加的路由發布到VPC2路由表。本樣本選擇是。
  - 權重：選擇路由的權重值。本樣本使用預設值100，表示高優先順序。
    說明
    若VPN網關中存在相同目標網段的目的路由，目的路由的權重值不支援同時設定為100。
在本地IDC網關裝置中載入VPN配置。
1. 在左側導覽列，選擇網間互聯 > VPN > IPsec串連。
2. 在IPsec串連頁面，找到目標IPsec串連，然後在操作列單擊產生對端配置。
3. 根據本地IDC網關裝置的配置要求，將下載的配置添加到本地IDC網關裝置中。具體操作，請參見本地網關裝置配置樣本。

步驟三：配置雲企業網

VBR和VPN網關配置完成後，您需要將VPC1、VPC2和VBR加入到轉寄路由器中，轉寄路由器可幫您實現本地IDC和VPC1間的互連互連。

建立雲企業網執行個體。選擇單獨建立即可。

建立轉寄路由器執行個體。

在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本信息 > 转发路由器頁簽，單擊创建转发路由器。

在创建转发路由器對話方塊，配置轉寄路由器執行個體資訊，然後單擊确认。

請根據下表資訊在華東1（杭州）建立轉寄路由器執行個體。

配置項	說明	華東1（杭州）
地域	選擇轉寄路由器執行個體所屬的地區。	本文選擇華東1（杭州）地區。
版本	轉寄路由器執行個體的版本。	系統自動判斷並顯示當前地區下轉寄路由器執行個體的版本。
開通組播	選擇是否開啟轉寄路由器執行個體的組播功能。	本文保持預設值，即不開啟組播功能。
名称	輸入轉寄路由器執行個體的名稱。	請自訂轉寄路由器執行個體的名稱。
描述	輸入轉寄路由器執行個體的描述資訊。	請自訂轉寄路由器執行個體的描述資訊。
TR地址段	輸入轉寄路由器位址區段。更多資訊，請參見轉寄路由器位址區段。	本文不輸入轉寄路由器位址區段。

將VPC1和VPC2串連至轉寄路由器。

在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
在基本信息 > 转发路由器頁簽，找到華東1（杭州）地區的轉寄路由器執行個體，在操作單擊创建网络实例连接。

在连接网络实例頁面，根據以下資訊進行配置，然後單擊确定创建。

下表羅列了各個配置項的說明以及VPC1、VPC2對應的參數值，請依據下表中的資料，分別將VPC1和VPC2串連至轉寄路由器執行個體。

說明

在首次串連VPC執行個體時，系統會自動為您建立一個服務關聯角色，角色名稱為AliyunServiceRoleForCEN。該角色將允許轉寄路由器執行個體在VPC的交換器上建立ENI。更多資訊，請參見AliyunServiceRoleForCEN。

配置項	配置項說明	VPC1	VPC2
实例类型	選擇待串連的網路執行個體類型。	专有网络（VPC）	专有网络（VPC）
地域	選擇待串連的網路執行個體所在的地區。	華東1（杭州）	華東1（杭州）
转发路由器	系統自動顯示該地區下已建立的轉寄路由器執行個體ID。
资源归属UID	選擇待串連的網路執行個體所屬的帳號類型。	同账号	同账号
付费方式	預設值按量付费。隨用隨付規則，請參見計費說明。
连接名称	輸入網路執行個體串連的名稱。	`VPC1-test`	`VPC2-test`
网络实例	選擇待串連的網路執行個體。	選擇VPC1	選擇VPC2
交换机	在轉寄路由器支援的可用性區域選擇交換器執行個體。如果轉寄路由器在當前地區僅支援一個可用性區域，則您需要在當前可用性區域選擇一個交換器執行個體。如果轉寄路由器在當前地區支援多個可用性區域，則您需要在至少2個可用性區域中各選擇一個交換器執行個體。在VPC和轉寄路由器流量互連的過程中，這2個交換器執行個體可以實現可用性區域層級的容災。推薦您在每個可用性區域中都選擇一個交換器執行個體，以減少流量繞行，體驗更低傳輸時延以及更高效能。請確保選擇的每個交換器執行個體下擁有一個閒置IP地址。如果VPC執行個體在轉寄路由器支援的可用性區域中並沒有交換器執行個體或者交換器執行個體下沒有閒置IP地址，您需要建立一個交換器執行個體。具體操作，請參見建立和管理交換器。更多資訊，請參見建立VPC串連。	在華東1（杭州）可用性區域H和可用I各選擇一個交換器執行個體。	在華東1（杭州）可用性區域H和可用I各選擇一個交換器執行個體。
高级配置	VPC1和VPC2均保持預設配置，即選中全部進階配置項。

將VBR執行個體串連至轉寄路由器。
1. 在云企业网实例頁面，找到目標雲企業網執行個體，單擊目標執行個體ID。
2. 在基本信息 > 转发路由器頁簽，找到華東1（杭州）地區的轉寄路由器執行個體，在操作單擊创建网络实例连接。
3. 在连接网络实例頁面，根據以下資訊進行配置，然後單擊确定创建。
  - 实例类型：選擇边界路由器（VBR）。
  - 地域：選擇待串連的網路執行個體所在的地區。本樣本選擇華東1（杭州）。
  - 转发路由器：系統自動顯示當前地區已建立的轉寄路由器執行個體ID。
  - 资源归属UID：選擇待串連的網路執行個體所屬的帳號類型。本樣本使用預設值同账号。
  - 连接名称：輸入網路執行個體串連名稱。本樣本輸入VBR。
  - 网络实例：選擇待串連的網路執行個體ID。本樣本選擇VBR執行個體。
  - 高级配置：保持預設配置，即選中全部進階配置項。
發布VPC2中的本地IDC路由至雲企業網。
您在VPN網關中將本地IDC路由發布到VPC2中後，VPC2中本地IDC的路由預設是未發布狀態。您需要手動將VPC2中的本地IDC路由發布到雲企業網中，以便轉寄路由器也能從VPC2學習到本地IDC的路由。
1. 登入雲企業網管理主控台。
2. 在云企业网实例頁面，找到目標雲企業網執行個體，單擊執行個體ID。
3. 在雲企業網執行個體詳情頁面，找到華東1（杭州）地區的轉寄路由器執行個體，單擊執行個體ID。
4. 在轉寄路由器執行個體詳情頁面，單擊网络实例路由信息頁簽。
5. 在网络实例路由信息頁簽下，選擇查看VPC2網路執行個體的路由條目，找到本地IDC的路由，在發布狀態列單擊發布。
6. 在发布路由對話方塊，單擊確認。

步驟四：配置本地IDC網關裝置

以下配置樣本僅供參考。不同廠商的裝置，配置命令可能會有所不同。具體命令，請諮詢相關裝置廠商。


#配置BGP動態路由協議，與VBR建立BGP鄰居關係，同時宣告本地IDC私網網段至雲上
interface GigabitEthernet 0/12          #該連接埠為本地IDC網關裝置與物理專線串連的連接埠
no switchport
ip address 10.1.0.2 255.255.255.252     #連接埠的IP地址，需和VBR客戶側IPv4互聯IP地址一致

router bgp 65530
bgp router-id 10.1.0.2                  
network 172.16.0.0 mask 255.255.0.0     #宣告本地IDC私網網段
neighbor 10.1.0.1 remote-as 45104       #和VBR建立BGP鄰居關係
exit

#配置通過VPN網關去往VPC1的靜態路由,使其優先順序低於BGP路由
ip route 192.168.0.0 255.255.0.0 <VPN網關公網IP地址> preference 255

步驟五：測試連通性

在本地IDC下，開啟用戶端的命令列視窗。
執行ping命令，訪問雲上VPC1 192.168.0.0/16網段下的ECS執行個體IP地址，如果接收到回複報文，則表示本地IDC和VPC1串連成功。
在本地IDC網關裝置上，關閉串連物理專線的連接埠，切斷物理專線串連。在用戶端再次執行ping命令，測試本地IDC和VPC1的連通性，如果接收到回複報文，則表示備份VPN鏈路可用。