VPN网关允许您通过加密隧道将本地数据中心、企业网络、个人客户端连接到阿里云专有网络(VPC)。 本文介绍如何通过IPsec-VPN隧道连接本地数据中心和VPC。

前提条件

  • 用于连接阿里云的网关设备支持标准的IKEv1和IKEv2协议。 本案例中需要配置多个子网,因此必须支持IKEv2协议。 支持的设备厂家包括山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia。
  • 网关设备具备静态公网IP地址。
  • 本地网络的IP地址段与VPC的IP地址段没有重叠。

背景信息

通过DTS配置数据迁移、数据同步或数据订阅时,您可以将实例类型选择为通过专线/VPN网关/智能网关接入的自建数据库,然后输入本地数据库的私有IP地址。

注意事项

如果您已经将本地网络连接到阿里云,您可以跳过VPN隧道设置的步骤。 但是,您需要在VPN设置中将DTS服务器列入白名单,并创建多个静态路由。 请按照以下步骤操作:

  1. 将DTS服务器的IP地址段添加到IPsec-VPN连接中。 详情请参见修改IPsec-VPN连接
    说明 单击+添加 本端网段,输入对应地域的DTS服务器的IP地址段。 详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单
  2. 在您的网关设备上配置静态路由。 详情请参见步骤4:在本地网关设备上配置IPsec-VPN连接和静态路由

费用说明

VPN网关为收费服务。 详情请参见https://www.alibabacloud.com/help/doc-detail/72351.htm

步骤1:创建VPN网关

  1. 登录专有网络控制台
  2. 在页面左上角选择一个地域。
  3. 在左侧导航栏,单击VPN > VPN网关
  4. VPN网关页面,单击创建VPN网关
  5. 完成VPN网关设置,如下表所示。
    参数 说明
    地域 选择VPN网关所在的地域。
    说明 VPN网关必须与要连接的专有网络位于同一地域。
    专有网络 选择要连接的专有网络。
    指定VSwitch 可选。 您可以将该选项设置为,并选择一个虚拟交换机,这样VPN网关只能连接到指定的虚拟交换机。
    带宽峰值 选择VPN网关的最大公网带宽。
    IPsec-VPN

    选择开启

    说明 IPsec-VPN功能支持站点到站点的连接。 您可以创建IPsec隧道将本地网络连接到专有网络,或连接两个专有网络。
    SSL-VPN

    选择关闭

    说明 SSL-VPN功能支持点到站点的连接。 您可以从VPN客户端直接创建VPN连接,而无需为客户端配置网关。
    计费周期

    固定为按小时,不可变更。

  6. 单击立即购买并按照说明完成付款。

步骤2:创建用户网关

  1. 登录专有网络控制台
  2. 在页面左上角,选择VPN网关所在的地域。
  3. 在左侧导航栏,单击VPN > 用户网关
  4. 单击创建用户网关
  5. 完成用户网关设置,如下表所示。
    参数 说明
    名称 输入用户网关的名称。
    IP地址 输入本地数据中心网关设备的静态公网IP地址。
    描述 描述的长度必须为2到256个字符,并且不能以http://https://开头。
    创建用户网关
  6. 单击确定

步骤3:创建IPsec连接并配置路由

  1. 登录专有网络控制台
  2. 在页面左上角,选择VPN网关所在的地域。
  3. 在左侧导航栏,单击VPN > IPsec连接
  4. 单击创建IPsec连接
  5. 创建IPsec连接对话框中,完成如下配置。
    创建IPsec-VPN连接
    配置 说明
    名称 输入IPsec-VPN连接的名称。
    说明 名称必须包含2到128个字符,可以包含字母、数字、下划线 (_) 和连字符 (-)。 必须以字母开头。
    VPN网关 选择要通过IPsec-VPN连接的VPN网关。 本案例选择在步骤1中创建的VPN网关。
    用户网关 选择要通过IPsec-VPN连接的用户网关。 本案例选择在步骤2中创建的用户网关。
    本端网段 输入需要和本地数据中心互连的VPC侧网段。 此设置用于第二阶段协商。
    注意
    • 您可以输入VPC的网段或VPC中某个交换机的网段。 例如本案例中输入VPC中某个交换机网段:172.16.88.0/24。
    • VPC的网段不能与本地数据中心的网段重叠。
    +添加 本端网段 输入多个VPC侧网段。 本案例中,输入DTS服务器的IP地址段。 详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单
    说明 添加多个网段时,需要将高级配置中的版本选择为ikev2
    对端网段 输入需要和VPC互连的本地数据中心侧的网段。 此设置用于第二阶段协商。
    说明 本地数据中心的网段不能与VPC的网段重叠。
    +添加 对端网段 输入多个本地数据中心侧的网段。
    注意 添加多个网段时,需要将高级配置中的版本选择为ikev2
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :首次在IPsec-VPN隧道中检测到流量时启动协商。
    高级配置 有关IPsec-VPN配置的详细信息,请参见创建IPsec-VPN连接
    健康检查
  6. 单击确定
  7. 在弹出的创建成功对话框中,单击确定,前往配置VPN网关的路由信息。
  8. 跳转到VPN网关页面。 单击目的路由表页签中的添加路由条目
  9. 添加路由条目对话框中,完成如下配置。
    配置 说明
    目标网段 输入本地数据中心的私网网段。 本案例中,输入192.168.10.0/24。
    下一跳类型 选择IPsec连接
    下一跳 选择您创建的IPsec-VPN连接实例。
    发布到VPC 选择是否将新添加的路由条目发布到VPC路由表。
    • (推荐):将新添加的路由发布到VPC路由表。
    • :不发布新添加的路由到VPC路由表。
      说明 如果您选择“否”,则必须在添加目标路由条目后将该路由条目发布到目标路由表中。
    权重 选择一个权重值:
    • 100:优先级最高。
    • 0:优先级最低。
    说明 如果两个静态路由基于同一个目标网段,则不能将两个路由条目的权重都设置为100。
    添加路由条目

步骤4:在本地网关设备上配置IPsec-VPN连接和静态路由

  1. 登录专有网络控制台
  2. 在页面左上角,选择VPN网关所在的地域。
  3. 在左侧导航栏,单击VPN > IPsec连接
  4. 找到目标IPsec-VPN连接,单击对应操作列中的更多操作 > 下载对端配置
    下载对端配置
  5. 在弹出的IPsec连接配置对话框中,详细展示了对端配置信息。 将对端配置添加到本地网关设备中。 添加方式因设备制造商和型号不同而有所区别。
    对端配置
  6. 将静态路由条目添加到本地网关设备中。 目标地址为对应地域的DTS服务器的IP地址段。 详情请参见迁移、同步或订阅本地数据库时需添加的IP白名单。 下一跳为新增的IPsec-VPN隧道接口。