VPN网关是一款基于Internet的网络连接服务,通过加密通道的方式实现企业数据中心、企业办公网络或Internet终端与阿里云专有网络(VPC)安全可靠的连接。您可以通过IPsec-VPN将本地数据中心接入至阿里云VPC,实现本地数据中心与VPC数据互通。

前提条件

  • 检查本地数据中心的网关设备是否满足要求。

    阿里云VPN网关支持标准的IKEv1和IKEv2协议,本案例需要配置多个网段,需要支持标准的IKEv2协议。常见厂家有山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等。

  • 本地数据中心的网关需具备静态公网IP。
  • 本地数据中心的网段和专有网络的网段不能重叠。

背景信息

示例图

本地数据中心通过IPsec-VPN接入至阿里云VPC后,通过DTS配置数据迁移、数据同步或数据订阅时,您可以将本地数据中心部署的自建数据库作为通过专线/VPN网关/智能网关接入的自建数据库,以获取更安全、快速、稳定的网络环境。

注意事项

如果已经将本地数据中心接入至阿里云VPC,您可以跳过本文的配置步骤,仅需执行下述操作:

  1. 将DTS服务器的IP地址加入至IPsec连接中,详情请参见修改IPsec连接
    注意 当单击+添加 本端网段时,您填写对应地域的DTS服务器的IP地址,详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单
  2. 在本地网关设备中配置IPsec-VPN与静态路由

费用说明

创建VPN网关时将产生费用,详情请参见计费说明

步骤一:创建VPN网关

  1. 登录专有网络管理控制台
  2. 在页面左上角选择地域。
  3. 在左侧导航栏,单击VPN > VPN网关
  4. VPN网关页面,单击创建VPN网关
  5. 根据业务需求,配置VPN网关的规格信息。
    配置 说明
    地域 VPN网关的所属地域。
    注意 确保VPN网关的地域和VPC的地域相同。
    专有网络 选择需要接入的专有网络。
    指定VSwitch 是否指定VPN网关创建在哪个虚拟交换机下,非必填。
    带宽峰值 选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。
    IPsec-VPN

    选择为开启

    说明 IPsec-VPN功能提供站点到站点的连接。通过创建IPsec隧道可以将本地数据中心网络和专有网络或两个专有网络安全地连接。
    SSL-VPN

    选择为关闭

    说明 SSL-VPN提供点到站点的VPN连接,不需要配置客户网关,终端直接接入。
    计费周期

    固定为按小时,不可变更。

  6. 单击立即购买,根据提示完成支付流程。

步骤二:创建用户网关

  1. 登录专有网络管理控制台
  2. 在页面左上角,选择VPN网关所属地域。
  3. 在左侧导航栏,单击VPN > 用户网关
  4. 单击创建用户网关
  5. 在弹出的对话框中,根据以下信息配置用户网关。
    创建用户网关
    配置 说明
    名称 填写用户网关名称,建议配置具有业务意义的名称以方便识别。
    注意
    • 以大写字母、小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。
    • 长度为2~128个字符。
    IP地址 本地数据中心网关设备的静态公网IP地址。
    描述 长度为2~256个字符,不能以http://https://开头。
  6. 单击确定

步骤三:创建IPsec连接并发布路由

  1. 登录专有网络管理控制台
  2. 在页面左上角,选择VPN网关所属地域。
  3. 在左侧导航栏,单击VPN > IPsec连接
  4. 单击创建IPsec连接
  5. 在弹出的创建IPsec连接对话框中,根据以下信息配置IPsec连接。
    创建IPsec连接
    配置 说明
    名称 IPsec连接的名称。
    说明 长度为2~128个字符,以英文字母或中文开始,可包含数字,短划线(-)和下划线(_)。
    VPN网关 选择待连接的VPN网关。本案例选择在步骤一中创建的VPN网关。
    用户网关 选择待连接的用户网关。本案例选择在步骤二中创建的用户网关。
    本端网段 填写需要和本地数据中心互连的VPC侧网段,用于第二阶段协商。
    注意
    • 您可以根据业务需求,填写整个VPC网段或VPC中某个交换机网段。例如本案例中填写VPC中某个交换机网段:172.16.88.0/24。
    • 填写的本端网段不能和对端网段有重叠。
    +添加 本端网段 添加多个需要和本地数据中心互连的VPC侧网段。本案例中,填写DTS服务器的IP地址,详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单
    注意 添加多个本端网段时,需要将高级配置中的版本选择为ikev2
    对端网段 填写需要和VPC互连的本地数据中心侧的网段,用于第二阶段协商。
    注意 填写的对端网段不能和本端网段有重叠。
    +添加 对端网段 添加多个需要和VPC互连的本地IDC侧的网段。
    注意 添加多个对端网段时,需要将高级配置中的版本选择为ikev2
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    高级配置 更多参数详细的说明,请参见创建IPsec连接
    健康检查
  6. 单击确定
  7. 在弹出的创建成功对话框中,单击确定,前往配置VPN网关的路由信息。
  8. 在跳转到的VPN网关页面中,单击目的路由表页签中的添加路由条目
  9. 在弹出的添加路由条目对话框中,根据以下信息配置路由信息。
    添加路由条目
    配置 说明
    目标网段 输入本地数据中心的私网网段。本案例中,填写192.168.10.0/24。
    下一跳类型 选择IPsec连接
    下一跳 选择刚创建的IPsec连接实例。
    发布到VPC 选择是否将新添加的路由发布到VPC路由表。
    • (推荐):将新添加的路由发布到VPC路由表。
    • :不发布新添加的路由到VPC路由表。
      注意 如果您选择否,添加目的路由后,您还需在目的路由表中发布路由。
    权重 选择权重值:
    • 100:优先级高。
    • 0:优先级低。
    注意 目的网段相同的目的路由,不支持同时设置权重值为100。

步骤四:在本地网关设备中配置IPsec-VPN与静态路由

  1. 登录专有网络管理控制台
  2. 在页面左上角,选择VPN网关所属地域。
  3. 在左侧导航栏,单击VPN > IPsec连接
  4. 找到目标IPsec连接,单击对应操作列中的更多操作 > 下载对端配置
    下载对端配置
  5. 在弹出的IPsec连接配置对话框中,详细展示了对端配置信息。
    对端配置信息
  6. 根据本地网关设备的配置要求,将对端配置添加到本地网关设备中。
  7. 在本地网关设备中,添加静态路由:目的地址为DTS服务器的IP地址,详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单,下一跳为新增的IPsec-VPN隧道接口。

相关文档

如果IPsec链接失败或网络不通,排查方法请参见IPsec常见问题