VPN网关允许您通过加密隧道将本地数据中心、企业网络、个人客户端连接到阿里云专有网络(VPC)。本文介绍如何通过IPsec-VPN隧道连接本地数据中心和VPC。

前提条件

  • 用于连接阿里云的网关设备支持标准的IKEv1和IKEv2协议。本案例中需要配置多个子网,因此必须支持IKEv2协议。支持的设备厂家包括山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia。
  • 网关设备具备静态公网IP地址。
  • 本地网络的IP地址段与VPC的IP地址段没有重叠。

背景信息

通过DTS配置数据迁移、数据同步或数据订阅时,您可以将实例类型选择为通过专线/VPN网关/智能网关接入的自建数据库,然后输入本地数据库的私有IP地址。

注意事项

如果您已经将本地网络连接到阿里云,您可以跳过VPN隧道设置的步骤。但是,您需要在VPN设置中将DTS服务器列入白名单,并创建多个静态路由。请按照以下步骤操作:

  1. 将DTS服务器的IP地址段添加到IPsec-VPN连接中。详情请参见修改IPsec-VPN连接
    说明 单击+添加 本端网段,输入对应地域的DTS服务器的IP地址段。详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单
  2. 在您的网关设备上配置静态路由。详情请参见步骤4:在本地网关设备上配置IPsec-VPN连接和静态路由

费用说明

VPN网关为收费服务。详情请参见按量计费

步骤1:创建VPN网关

  1. 登录专有网络控制台
  2. 在页面左上角选择一个地域。
  3. 在左侧导航栏,单击网间互联 > VPN > VPN网关
  4. VPN网关页面,单击创建VPN网关
  5. 完成VPN网关设置。
    • 实例名称:输入VPN网关的实例名称。
    • 地域:选择VPN网关所属的地域。
      说明 确保VPC的地域和VPN网关的地域相同。
    • 专有网络:选择要连接的VPC。
    • 指定交换机:是否指定VPN网关创建在VPC中的某一个交换机下。本示例选择

      如果您选择了,您还需要指定具体的虚拟交换机

    • 带宽峰值:选择VPN网关的公网带宽峰值。单位为Mbps。
    • 流量:VPN网关默认按使用流量计费。
    • IPsec-VPN:选择是否开启IPsec-VPN功能。本示例选择开启
    • SSL-VPN:选择是否开启SSL-VPN功能。本示例选择关闭
    • 购买时长:VPN网关默认按小时计费。
  6. 单击立即购买并按照说明完成付款。

步骤2:创建用户网关

  1. 登录专有网络控制台
  2. 在页面左上角,选择VPN网关所在的地域。
  3. 在左侧导航栏,单击网间互联 > VPN > 用户网关
  4. 单击创建用户网关
  5. 完成用户网关设置,如下表所示。
    参数 说明
    名称 输入用户网关的名称。
    IP地址 输入本地数据中心网关设备的静态公网IP地址。
    自治系统号 输入本地数据中心网关设备的自治系统号ASN(Autonomous System Number)。
    描述 描述的长度必须为2到256个字符,并且不能以http://https://开头。
  6. 单击确定

步骤3:创建IPsec连接并配置路由

  1. 登录专有网络控制台
  2. 在页面左上角,选择VPN网关所在的地域。
  3. 在左侧导航栏,单击网间互联 > VPN > IPsec连接
  4. 单击创建IPsec连接
  5. 创建IPsec连接对话框中,完成如下配置。
    配置 说明
    名称

    IPsec连接的名称。

    名称在2~128个字符之间,以大小写字母或中文开始,可包含数字、短划线(-)和下划线(_)。

    VPN网关 选择待连接的普通型VPN网关。
    用户网关 选择待连接的用户网关。
    路由模式 选择路由模式。默认为目的路由模式
    • 目的路由模式:基于目的IP进行路由转发。

      您在创建IPsec连接后,需要在VPN网关目的路由表中添加目的路由。

    • 感兴趣流模式:基于源IP和目的IP进行精确的路由转发。

      您在创建IPsec连接时,如果您选择了感兴趣流模式,您需要配置本端网段对端网段。配置完成后,系统自动在VPN网关策略路由表中添加策略路由。

      系统在VPN网关策略路由表中添加策略路由后,路由默认是未发布状态,您需要在策略路由表中手动将路由发布至VPC中。

    说明
    • 如果您当前的VPN版本为旧版,您无需选择路由模式。在您创建IPsec连接后,请您手动为VPN网关配置目的路由或策略路由。
    • 请勿添加目标网段为100.64.0.0/10(包含该网段下的子网段),下一跳指向IPsec连接的路由,该类路由会导致控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。
    本端网段 输入需要和本地数据中心互连的VPC侧的网段,用于第二阶段协商。
    单击文本框后面的添加图标,可添加多个需要和本地数据中心互连的VPC侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    对端网段 输入需要和VPC互连的本地数据中心侧的网段,用于第二阶段协商。
    单击文本框后面的添加图标,可添加多个需要和VPC互连的本地数据中心侧的网段。
    说明 只有IKE V2版本下才可以配置多网段。
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    预共享密钥 输入IPsec-VPN连接的认证密钥,用于VPN网关与本地数据中心之间的身份认证。密钥长度为1~100个字符。

    若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。

    注意 IPsec连接侧的预共享密钥需和本地数据中心侧的认证密钥一致,否则本地数据中心和VPN网关之间无法建立连接。
    高级配置:IKE配置
    版本 选择IKE协议的版本。
    • ikev1
    • ikev2

    目前系统支持IKE V1和IKE V2,相对于IKE V1版本,IKE V2版本简化了SA的协商过程并且对于多网段的场景提供了更好的支持,所以建议选择IKE V2版本。

    协商模式 选择协商模式。
    • main:主模式,协商过程安全性高。
    • aggressive:野蛮模式,协商快速且协商成功率高。

    协商成功后两种模式的信息传输安全性相同。

    加密算法 选择第一阶段协商使用的加密算法。普通型VPN网关支持aesaes192aes256des3des
    认证算法 第一阶段协商使用的认证算法。普通型VPN网关支持sha1md5sha256sha384sha512
    DH分组 选择第一阶段协商的Diffie-Hellman密钥交换算法。普通型VPN网关支持以下DH组:
    • group1:表示DH分组中的DH1。
    • group2:表示DH分组中的DH2。
    • group5:表示DH分组中的DH5。
    • group14:表示DH分组中的DH14。
    SA生存周期(秒) 设置第一阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400
    LocalId 作为IPsec VPN网关的标识,用于第一阶段的协商。默认值为VPN网关的公网IP地址。如果手动设置LocalId为FQDN格式,建议将协商模式改为野蛮模式(aggressive)。
    RemoteId 作为用户网关的标识,用于第一阶段的协商。默认值为用户网关的公网IP地址。如果手动设置RemoteId为FQDN格式,建议将协商模式改为野蛮模式(aggressive)。
    高级配置:IPSec配置
    加密算法 选择第二阶段协商的加密算法。支持aesaes192aes256des3des
    认证算法 选择第二阶段协商的认证算法。支持sha1md5sha256sha384sha512
    DH分组 选择第二阶段协商的Diffie-Hellman密钥交换算法。普通型VPN网关以下DH组:
    • disabled:表示不使用DH密钥交换算法。
      • 对于不支持PFS的客户端请选择disabled
      • 如果选择为非disabled的任何一个组,会默认开启PFS功能(完美向前加密),使得每次重协商都要更新密钥,因此,相应的客户端也要开启PFS功能。
    • group1:表示DH分组中的DH1。
    • group2:表示DH分组中的DH2。
    • group5:表示DH分组中的DH5。
    • group14:表示DH分组中的DH14。
    SA生存周期(秒) 设置第二阶段协商出的SA的生存周期。单位:秒。默认值:86400。取值范围:0~86400
    DPD 选择开启或关闭对等体存活检测功能。DPD功能默认开启。
    NAT穿越 选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。
    BGP配置
    隧道网段 输入IPsec隧道的网段。

    该网段应是一个在169.254.0.0/16内的掩码长度为30的网段。

    本端BGP地址 输入本端BGP地址。

    该地址为隧道网段内的一个IP地址。

    说明 请确保IPsec隧道两端的BGP地址不冲突。
    本端自治系统号 输入VPC侧的自治系统号。取值范围:1~4294967295。默认值:45104
    说明 建议您使用自治系统号的私有号码与阿里云建立BGP连接。自治系统号的私有号码范围请自行查阅文档。
    健康检查
    目标IP VPC侧通过IPSec连接可以访问的本地数据中心的IP地址。
    源IP 本地数据中心通过IPSec连接可以访问的VPC侧的IP地址。
    重试间隔 健康检查的重试间隔时间,单位:秒。
    重试次数 健康检查的重试发包次数。
  6. 单击确定
  7. 在弹出的创建成功对话框中,单击确定,前往配置VPN网关的路由信息。
  8. 跳转到VPN网关页面。 单击目的路由表页签中的添加路由条目
  9. 添加路由条目对话框中,完成如下配置。
    配置 说明
    目标网段 输入本地数据中心的私网网段。 本案例中,输入192.168.10.0/24。
    下一跳类型 选择IPsec连接
    下一跳 选择您创建的IPsec-VPN连接实例。
    发布到VPC 选择是否将新添加的路由条目发布到VPC路由表。
    • (推荐):将新添加的路由发布到VPC路由表。
    • :不发布新添加的路由到VPC路由表。
      说明 如果您选择“否”,则必须在添加目标路由条目后将该路由条目发布到目标路由表中。
    权重 选择一个权重值:
    • 100:优先级最高。
    • 0:优先级最低。
    说明 如果两个静态路由基于同一个目标网段,则不能将两个路由条目的权重都设置为100。

步骤4:在本地网关设备上配置IPsec-VPN连接和静态路由

  1. 登录专有网络控制台
  2. 在页面左上角,选择VPN网关所在的地域。
  3. 在左侧导航栏,单击网间互联 > VPN > IPsec连接
  4. 找到目标IPsec-VPN连接,单击对应操作列中的更多 > 下载对端配置
  5. 在弹出的IPsec连接配置对话框中,详细展示了对端配置信息。将对端配置添加到本地网关设备中。 添加方式因设备制造商和型号不同而有所区别。
    对端配置
  6. 将静态路由条目添加到本地网关设备中。目标地址为对应地域的DTS服务器的IP地址段。详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单。下一跳为新增的IPsec-VPN隧道接口。