VPN网关：阿里云VPC与AWS VPC互通

场景示例

本文以下图场景为例。某企业在阿里云德国（法兰克福）地域创建了一个VPC，并在AWS的欧洲（法兰克福）地域也拥有一个VPC，企业希望阿里云VPC和AWS VPC可以互相通信。

企业可以使用阿里云VPN网关产品（使用公网网络类型的VPN网关实例）和AWS VPN产品在两个VPC之间建立IPsec-VPN连接，实现两个VPC之间的加密通信。

网段规划

准备工作

• 您已经在阿里云德国（法兰克福）地域创建一个VPC，VPC下通过云服务器 ECS（Elastic Compute Service）部署相关资源。具体操作，请参见搭建IPv4专有网络。

• 您已经在AWS欧洲（法兰克福）地域创建了一个VPC，VPC下通过EC2部署了相关资源。具体操作，请咨询AWS平台。

配置流程

步骤一：在阿里云创建VPN网关实例

您需要先在阿里云创建一个VPN网关实例，VPN网关实例创建完成后，系统会为VPN网关实例分配2个IP地址，这2个IP地址用于与AWS平台建立IPsec-VPN连接。

1. 登录VPN网关管理控制台。

2. 在顶部菜单栏，选择VPN网关的地域。

   VPN网关的地域需和待绑定的VPC实例的地域相同。

3. 在VPN网关页面，单击创建VPN网关。

4. 在购买页面，根据以下信息配置VPN网关，然后单击立即购买并完成支付。

   以下仅列举本文强相关的配置，其余配置项保持默认值或为空。更多信息，请参见创建和管理VPN网关实例。

   配置项	说明	本文示例值
   实例名称	输入VPN网关实例的名称。	输入VPN网关。
   地域	选择VPN网关实例所属的地域。	选择德国（法兰克福）。
   网关类型	选择VPN网关实例的网关类型。	选择普通型。
   网络类型	选择VPN网关实例的网络类型。	选择公网。
   隧道	系统直接展示当前地域IPsec-VPN连接支持的隧道模式。 双隧道 单隧道 关于单隧道和双隧道的说明，请参见绑定VPN网关。	本文保持默认值双隧道。
   专有网络	选择VPN网关实例关联的VPC实例。	选择阿里云德国（法兰克福）地域的VPC实例。
   虚拟交换机	从VPC实例中选择一个交换机实例。 IPsec-VPN连接的隧道模式为单隧道时，您仅需要指定一个交换机实例。 IPsec-VPN连接的隧道模式为双隧道时，您需要指定两个交换机实例。 IPsec-VPN功能开启后，系统会在两个交换机实例下各创建一个弹性网卡ENI（Elastic Network Interfaces），作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。 说明 系统默认帮您选择第一个交换机实例，您可以手动修改或者直接使用默认的交换机实例。 创建VPN网关实例后，不支持修改VPN网关实例关联的交换机实例，您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。	选择VPC实例下的一个交换机实例。
   虚拟交换机2	从VPC实例中选择第二个交换机实例。 您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例，以实现IPsec-VPN连接可用区级别的容灾。 对于仅支持一个可用区的地域 ，不支持可用区级别的容灾，建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用，支持选择和第一个相同的交换机实例。 说明 如果VPC实例下没有第二个交换机实例，您可以新建交换机实例。具体操作，请参见创建和管理交换机。	选择VPC实例下的第二个交换机实例。
   IPsec-VPN	选择开启或关闭IPsec-VPN功能。默认值：开启。	选择开启IPsec-VPN功能。
   SSL-VPN	选择开启或关闭SSL-VPN功能。默认值：关闭。	选择关闭SSL-VPN功能。

5. 返回VPN网关页面，查看创建的VPN网关实例

   刚创建好的VPN网关实例的状态是准备中，约1~5分钟左右会变成正常状态。正常状态表明VPN网关已经完成了初始化，可以正常使用。

   系统为VPN网关实例分配的2个IP地址如下表所示：

   VPN网关实例的名称	VPN网关实例ID	IP地址
   VPN网关	vpn-gw8dickm386d2qi2g****	IPsec地址1（默认为主隧道地址）：8.XX.XX.146
   		IPsec地址2（默认为备隧道地址）：8.XX.XX.74

步骤二：在AWS平台部署VPN

为在AWS VPC和阿里云VPC之间建立IPsec-VPN连接，您需要根据以下信息在AWS平台部署VPN，配置需要的具体命令或操作请咨询AWS平台。

步骤三：在阿里云部署VPN网关

在AWS平台完成VPN配置后，请根据以下信息在阿里云侧部署VPN网关，以便AWS VPC和阿里云VPC之间建立IPsec-VPN连接。

1. 创建用户网关。

   1. 登录VPN网关管理控制台。

   2. 在左侧导航栏，选择网间互联 > VPN > 用户网关。

   3. 在顶部菜单栏选择用户网关的地域。

      用户网关地域需和VPN网关实例的地域相同。

   4. 在用户网关页面，单击创建用户网关。

   5. 在创建用户网关面板，根据以下信息进行配置，然后单击确定。

      您需要创建两个用户网关，并将AWS平台站点到站点VPN连接的隧道外部IP地址作为用户网关的IP地址，以建立两个加密隧道。以下仅列举本文强相关配置项，其余配置保持默认值或为空。更多信息，请参见用户网关。

      重要

      仅使用每个站点到站点VPN连接的Tunnel1的外部IP地址作为用户网关的地址。每个站点到站点VPN连接的Tunnel2的外部IP地址默认不使用，IPsec-VPN连接创建完成后，每个站点到站点VPN连接的Tunnel2默认不通。

      配置项	说明	用户网关1	用户网关2
      名称	输入用户网关的名称。	输入用户网关1。	输入用户网关2。
      IP地址	输入AWS平台隧道的外部IP地址。	输入3.XX.XX.52。	输入3.XX.XX.56。
      自治系统号	输入AWS虚拟私有网关的BGP AS号。 说明 使用BGP动态路由方式时，需配置该项。	输入64512。	输入64512。

2. 创建IPsec连接。

   1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。

   2. 在IPsec连接页面，单击绑定VPN网关。

   3. 在创建IPsec连接(VPN)页面，根据以下信息配置IPsec连接，然后单击确定。

      配置项	说明	本文示例值
      IPsec连接名称	输入IPsec连接的名称。	输入IPsec连接。
      地域	选择IPsec连接要绑定的VPN网关实例的地域。 IPsec连接创建完成后所属地域与VPN网关实例地域相同。	选择德国（法兰克福）。
      绑定VPN网关	选择IPsec连接关联的VPN网关实例。	选择已创建的VPN网关。
      路由模式	选择路由模式。 目的路由模式：基于目的IP地址路由和转发流量。 感兴趣流模式：基于源IP地址和目的IP地址精确的路由和转发流量。	本文使用静态路由方式时，选择使用感兴趣流模式（推荐）。 本端网段：输入10.0.0.0/16。 对端网段：输入192.168.0.0/16。 本文使用BGP动态路由方式时，选择使用目的路由模式（推荐）。
      立即生效	选择IPsec连接的配置是否立即生效。取值： 是：配置完成后立即进行协商。 否：当有流量进入时进行协商。	选择是。
      启用BGP	如果IPsec连接需要使用BGP路由协议，需要打开BGP功能的开关，系统默认关闭BGP功能。	本文此处保持默认值不打开BGP配置开关，默认为静态路由方式。IPsec连接创建完成后如需使用BGP动态路由，则再单独添加BGP配置。
      Tunnel 1	为隧道1（主隧道）添加VPN相关配置。 系统默认隧道1为主隧道，隧道2为备隧道，且不支持修改。
      用户网关	为主隧道添加待关联的用户网关实例。	选择用户网关1。
      预共享密钥	输入主隧道的认证密钥，用于身份认证。 密钥长度为1~100个字符，支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 若您未指定预共享密钥，系统会随机生成一个16位的字符串作为预共享密钥。 重要 隧道及其对端网关设备配置的预共享密钥需一致，否则系统无法正常建立IPsec-VPN连接。	当前隧道的认证密钥需和连接的AWS平台隧道的密钥一致。
      加密配置	添加IKE配置、IPsec配置、DPD、NAT穿越等配置。	IKE配置的SA生存周期（秒）需与AWS平台保持一致，本文设置为28800。 IPsec配置的SA生存周期（秒）需与AWS平台保持一致，本文设置为3600。 其余配置项使用默认值。关于默认值的说明，请参见IPsec连接（绑定VPN网关）。
      Tunnel 2	为隧道2（备隧道）添加VPN相关配置。
      用户网关	为备隧道添加待关联的用户网关实例。	选择用户网关2。
      预共享密钥	输入备隧道的认证密钥，用于身份认证。	当前隧道的认证密钥需和连接的AWS平台隧道的密钥一致。
      加密配置	添加IKE配置、IPsec配置、DPD、NAT穿越等配置。	IKE配置的SA生存周期（秒）需与AWS平台保持一致，本文设置为28800。 IPsec配置的SA生存周期（秒）需与AWS平台保持一致，本文设置为3600。 其余配置项使用默认值。关于默认值的说明，请参见IPsec连接（绑定VPN网关）。

   4. 在创建成功对话框中，单击取消。

3. 配置VPN网关路由。

   使用静态路由方式

   创建IPsec连接后需要为VPN网关实例配置路由。创建IPsec连接时，如果路由模式您选择了感兴趣流模式，在IPsec连接创建完成后，系统会自动在VPN网关实例下创建策略路由，路由是未发布状态。您需要执行本操作，将VPN网关实例下的策略路由发布至VPC中。

   1. 在左侧导航栏，选择网间互联 - VPN - VPN网关。

   2. 在顶部菜单栏，选择VPN网关实例的地域。

   3. 在VPN网关页面，单击目标VPN网关实例ID。

   4. 在VPN网关实例详情页面单击策略路由表页签，找到目标路由条目，在操作列单击发布。

   5. 在发布路由对话框，单击确定。

   使用BGP动态路由方式

   1. 为IPsec连接添加BGP配置。

      1. 在左侧导航栏，选择网间互联 - VPN - IPsec连接。

      2. 在IPsec连接页面，找到IPsec连接，单击IPsec连接ID。

      3. 在IPsec连接基本信息区域，在启用BGP右侧单击按钮，在BGP配置对话框根据以下信息进行配置，然后单击确定。

         配置项	配置项说明	IPsec连接配置
         本端自治系统号	输入IPsec连接的自治系统号。	本文输入65530。
         Tunnel 1	为主隧道添加BGP配置。	为IPsec连接的主隧道添加BGP配置。
         隧道网段	输入建立加密隧道时使用的网段。	本文输入169.254.116.208/30。
         本端BGP地址	输入IPsec连接的BGP IP地址。 该地址为隧道网段内的一个IP地址。	本文输入169.254.116.210。
         Tunnel 2	为备隧道添加BGP配置。	为IPsec连接的备隧道添加BGP配置。
         隧道网段	输入建立加密隧道时使用的网段。	本文输入169.254.214.96/30。
         本端BGP地址	输入IPsec连接的BGP IP地址。 该地址为隧道网段内的一个IP地址。	本文输入169.254.214.98。

   2. 根据以下步骤为VPN网关实例开启BGP路由自动传播功能。

      1. 在左侧导航栏，选择网间互联 - VPN - VPN网关。

      2. 在VPN网关页面，找到VPN网关实例，在操作列选择 > 开启路由自动传播。

      3. 在开启路由自动传播对话框，单击确定。

步骤四：测试连通性

配置完成后，阿里云VPC和AWS VPC之间已经成功建立IPsec-VPN连接。下文以阿里云ECS实例访问AWS EC2实例为例，测试VPC之间的连通性。

1. 登录阿里云VPC实例下的一个ECS实例。关于如何登录ECS实例，请参见选择ECS远程连接方式。

2. 在ECS实例中执行ping命令，访问AWS平台的EC2实例，验证通信是否正常。

   如果ECS实例可以收到AWS平台EC2实例的回复报文，则证明VPC之间可以正常通信。

   ping <AWS平台EC2实例的私网IP地址>

   

3. 测试IPsec-VPN连接的高可用性。

   双隧道模式的IPsec-VPN拥有高可用性，在主隧道中断的情况下，流量自动通过备隧道进行传输。以下内容介绍如何验证双隧道模式IPsec-VPN连接的高可用性。

   1. 保持登录阿里云VPC实例下的ECS实例。

   2. 执行以下命令，使阿里云下的ECS实例持续访问AWS平台的EC2实例。

      ping <AWS平台EC2实例的私网IP地址> -c 10000

   3. 中断IPsec-VPN连接的主隧道。

      本文通过在阿里云侧修改IPsec连接下主隧道的预共享密钥来中断主隧道，主隧道两端的预共享密钥不一致，则主隧道会中断。

   4. 查看阿里云ECS实例下的通信情况，会发现ECS实例下的流量在短暂中断后，又重新恢复通信，表示在主隧道中断后，流量自动通过备隧道进行通信。

      您可以在阿里云监控页签查看隧道的流量监控信息。具体操作，请参见监控IPsec-VPN连接。