全部产品
Search
文档中心

VPN网关:建立VPC到本地数据中心的连接(单隧道模式)

更新时间:Jan 17, 2024

本文介绍如何使用公网网络类型的VPN网关在专有网络VPC(Virtual Private Cloud)和本地数据中心之间建立IPsec-VPN连接(单隧道模式),实现本地数据中心与VPC之间的加密通信。

环境要求

  • IPsec连接绑定公网网络类型的VPN网关实例时,本地数据中心的网关设备必须配置公网IP地址。

  • 本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和VPN网关建立IPsec-VPN连接。

  • 本地数据中心和VPC间互通的网段没有重叠。

场景示例

本文以下图场景示例。某公司在阿里云创建了VPC,网段为192.168.0.0/16。本地数据中心的网段为172.16.0.0/12,本地网关设备的公网IP为211.XX.XX.68。公司因业务发展,需要本地数据中心与云上VPC互通。您可以通过IPsec-VPN,建立本地数据中心与云上VPC的连接,实现云上和云下的加密通信。

IPsec快速入门

准备工作

  • 您已经在阿里云创建了VPC,VPC中使用云服务器ECS(Elastic Compute Service)部署了相关业务。具体操作,请参见搭建IPv4专有网络

  • 您已经了解VPC中的ECS实例所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则添加安全组规则

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关的地域。

    VPN网关的地域需和待关联的VPC实例的地域相同。

  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。

    配置项

    说明

    实例名称

    输入VPN网关实例的名称。

    本文输入VPN网关1

    资源组

    选择VPN网关实例所属的资源组。如果不选择,VPN网关实例创建后将归属于默认资源组。

    本文保持为空。

    地域

    选择VPN网关实例所属的地域。

    说明

    请确保VPN网关实例的地域和VPC实例的地域相同。

    网关类型

    选择VPN网关实例的类型。

    默认值:普通型

    网络类型

    选择VPN网关实例的网络类型。

    本文选择公网

    隧道

    系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。

    • 单隧道

    • 双隧道

    关于IPsec-VPN连接隧道模式的说明,请参见【升级公告】IPsec-VPN连接升级为双隧道模式

    专有网络

    选择VPN网关实例关联的VPC实例。

    虚拟交换机

    从VPC实例中选择一个交换机实例。

    • IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。
    • IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。
    说明
    • 系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。
    • 创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机以及交换机所属可用区的信息。

    虚拟交换机2

    IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。

    带宽峰值

    选择VPN网关实例的公网带宽峰值。单位:Mbps。

    流量

    VPN网关实例的计费方式。默认值:按流量计费

    更多信息,请参见计费说明

    IPsec-VPN

    选择开启或关闭IPsec-VPN功能。

    本文选择开启

    SSL-VPN

    选择开启或关闭SSL-VPN功能。

    本文选择关闭

    购买时长

    VPN网关的计费周期。默认值:按小时计费。

    服务关联角色

    单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    更多参数信息,请参见创建VPN网关实例

  5. 返回VPN网关页面,查看创建的VPN网关。

    刚创建好的VPN网关的状态是准备中,约1~5分钟左右会变成正常状态。正常状态表明VPN网关已经完成了初始化,可以正常使用。

步骤二:创建用户网关

  1. 在左侧导航栏,选择网间互联 > VPN > 用户网关
  2. 在顶部菜单栏,选择用户网关的地域。

    说明

    用户网关的地域必须和要连接的VPN网关的地域相同。

  3. 用户网关页面,单击创建用户网关

  4. 创建用户网关面板,根据以下信息配置用户网关,然后单击确定

    以下仅列举本文强相关配置项,其余配置保持默认值或为空。更多信息,请参见创建和管理用户网关

    • 名称:输入用户网关的名称。

      本文输入用户网关1

    • IP地址:输入VPC要连接的本地数据中心的网关设备的公网IP。

      本文输入211.XX.XX.68

步骤三:创建IPsec连接

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  2. 在顶部菜单栏,选择IPsec连接的地域。

    说明

    IPsec连接的地域必须和要连接的VPN网关的地域相同。

  3. IPsec连接页面,单击创建IPsec连接

  4. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定

    配置项

    配置项说明

    名称

    输入IPsec连接的名称。

    本文输入IPsec连接1

    资源组

    选择VPN网关实例所属的资源组。

    本文选择默认资源组。

    绑定资源

    选择IPsec连接绑定的资源类型。

    本文选择VPN网关

    VPN网关

    选择已创建的VPN网关实例。

    本文选择VPN网关1

    路由模式

    选择路由模式。

    本文选择目的路由模式

    立即生效

    选择是否立即生效。

    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。

    本文选择

    用户网关

    选择已创建的用户网关实例。

    本文选择用户网关1

    启用BGP

    如果IPsec连接需要使用BGP路由协议,需要打开BGP功能的开关,系统默认关闭BGP功能。

    本文不开启BGP功能。

    预共享密钥

    输入预共享密钥。

    • 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?
    • 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接
    重要 IPsec连接及其对端网关设备配置的预共享密钥需一致,否则系统无法正常建立IPsec-VPN连接。

    加密配置

    本文使用IKEv1版本,其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接(单隧道模式)

    健康检查

    本文保持默认值,不为IPsec连接配置健康检查。

    标签

    为IPsec连接添加标签。

    本文保持为空。

  5. 创建成功对话框中,单击确定

步骤四:在本地网关设备中加载VPN配置

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  2. IPsec连接页面,找到目标IPsec连接实例,然后在操作单击生成对端配置

  3. 根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见本地网关配置

步骤五:配置VPN网关路由

  1. 在左侧导航栏,选择网间互联 > VPN > VPN网关
  2. VPN网关页面,找到目标VPN网关实例,单击实例ID。

  3. 目的路由表页签,单击添加路由条目

  4. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定

    配置项

    配置说明

    目标网段

    输入待互通的目标网段。

    本文输入172.16.0.0/12

    下一跳类型

    选择下一跳的类型。

    本文选择IPsec连接

    下一跳

    选择IPsec连接。

    发布到VPC

    选择是否将新添加的路由条目发布到VPN网关关联的VPC路由表。

    本文选择

    权重

    选择路由条目的权重值。

    • 100:高优先级。

    • 0:低优先级。

    本文保持默认值100

步骤六:测试连通性

  1. 登录到VPC内一台无公网IP的ECS实例。关于如何登录ECS实例,请参见连接方式概述

  2. 执行ping命令,访问本地数据中心内的一台服务器,验证通信是否正常。

    如果能够收到回复报文,则证明通信正常。