VPN网关：建立多站点连接以及多站点与VPC的连接

VPN网关Hub功能介绍

创建VPN网关实例后，系统自动开启VPN网关实例的Hub功能。您只需要配置各个站点的用户网关以及各个站点到云上的IPsec连接，即可实现多站点之间、多站点与VPC之间的相互通信。

场景示例

本文以上图场景为例。某大型企业在上海、杭州、宁波各拥有一个办公点，在阿里云华东1（杭州）地域拥有一个VPC1，VPC1中使用云服务器ECS（Elastic Compute Service）部署了相关业务，当前各个办公点之间，各个办公点与VPC1之间互不相通。因业务发展，现在企业需要使用VPN网关产品，通过VPN网关的Hub功能快速实现上海办公点、杭州办公点、宁波办公点和VPC1之间相互通信。

前提条件

• 您已经获取各个办公点本地网关设备的公网IP地址。

• 您已经在阿里云华东1（杭州）地域创建了一个VPC1，VPC1中使用ECS部署了相关业务。具体操作，请参见搭建IPv4专有网络。

  本示例VPC1和各个办公点的网段规划如下表所示。

  说明

  您可以自行规划网段，请确保VPC1和各个办公点之间要互通的网段没有重叠。

  站点	VPC1	上海办公点	杭州办公点	宁波办公点
  待互通的网段	192.168.0.0/16	10.10.10.0/24	10.10.20.0/24	10.10.30.0/24
  ECS实例IP地址	192.168.20.121	不涉及	不涉及	不涉及
  本地网关设备公网IP地址	不涉及	1.XX.XX.1	2.XX.XX.2	3.XX.XX.3

• 您已经了解VPC1中ECS实例所应用的安全组规则及各个办公点所应用的访问控制规则，并确保ECS实例的安全组规则以及各个办公点的访问控制规则允许办公点之间、办公点与VPC1之间相互通信。具体操作，请参见查询安全组规则和添加安全组规则。

配置流程

步骤一：创建VPN网关

在VPC1实例所属的地域创建一个VPN网关实例，上海办公点、杭州办公点和宁波办公点将通过该VPN网关实例实现互相通信，以及与云上VPC1的通信。

1. 登录VPN网关管理控制台。

2. 在顶部菜单栏，选择VPN网关实例所属的地域。

   本示例选择华东1（杭州）。

3. 在VPN网关页面，单击创建VPN网关。

4. 在购买页面，根据以下信息配置VPN网关，然后单击立即购买并完成支付。

   配置项	说明
   实例名称	输入VPN网关实例的名称。本示例输入VPN网关1。
   地域	选择VPN网关实例所属的地域。本示例选择华东1（杭州）。
   网关类型	选择VPN网关实例的类型。本示例选择普通型。
   网络类型	选择VPN网关实例的网络类型。本示例选择公网。
   隧道	系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。
   专有网络	选择VPN网关实例关联的VPC实例。本示例选择VPC1。
   虚拟交换机	从VPC实例中选择一个交换机实例。 IPsec-VPN连接的隧道模式为单隧道时，您仅需要指定一个交换机实例。 IPsec-VPN连接的隧道模式为双隧道时，您需要指定两个交换机实例。 说明 系统默认帮您选择第一个交换机实例，您可以手动修改或者直接使用默认的交换机实例。 创建VPN网关实例后，不支持修改VPN网关实例关联的交换机实例，您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机以及交换机所属可用区的信息。
   虚拟交换机2	从VPC实例中选择第二个交换机实例。 IPsec-VPN连接的隧道模式为单隧道时，无需配置该项。
   带宽峰值	选择VPN网关实例的公网带宽峰值。单位：Mbps。
   流量	VPN网关实例的计费方式。默认值：按流量计费。 更多信息，请参见计费说明。
   IPsec-VPN	选择开启或关闭IPsec-VPN功能。本示例选择开启。
   SSL-VPN	选择开启或关闭SSL-VPN功能。本示例选择关闭。
   购买时长	VPN网关的计费周期。默认值：按小时计费。
   服务关联角色	单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。 VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。 若本配置项显示为已创建，则表示您的账号下已创建了该角色，无需重复创建。

   更多参数信息，请参见创建VPN网关实例。

5. 返回VPN网关页面，查看已创建的VPN网关实例。

   创建VPN网关实例后，其状态是准备中，约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化，可以正常使用。

步骤二：创建用户网关

若要实现多个办公点通过一个VPN网关实例相互通信，在创建VPN网关实例后，您需要创建多个用户网关，一个用户网关对应一个办公点。

1. 在左侧导航栏，选择网间互联 > VPN > 用户网关。

2. 在顶部菜单栏，选择用户网关的地域。

   说明

   用户网关的地域必须和待连接的VPN网关实例的地域相同。

3. 在用户网关页面，单击创建用户网关。

4. 在创建用户网关面板，根据以下信息配置用户网关，然后单击确定。

   您需要为每个办公点创建一个用户网关，用户网关的配置请参见下表。

   配置项	配置项说明	上海办公点	杭州办公点	宁波办公点
   名称	输入用户网关的名称。	Shanghai-customer1	Hangzhou-customer2	Ningbo-customer3
   IP地址	输入用户网关的公网IP地址。	本示例输入上海办公点本地网关设备的公网IP地址1.XX.XX.1。	本示例输入杭州办公点本地网关设备的公网IP地址2.XX.XX.2。	本示例输入宁波办公点本地网关设备的公网IP地址3.XX.XX.3。

   更多参数信息，请参见创建用户网关。

步骤三：创建IPsec连接

您需要为上海办公点、杭州办公点、宁波办公点各创建一条IPsec连接，IPsec连接会将用户网关与VPN网关关联起来，进而将各个办公点连接至阿里云。

1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。
2. 在顶部菜单栏，选择IPsec连接的地域。
3. 在IPsec连接页面，单击创建IPsec连接。

4. 在创建IPsec连接页面，根据以下信息配置IPsec连接，然后单击确定。

   上海办公点、杭州办公点以及宁波办公点IPsec连接的配置请参见下表。

   配置项	配置项说明	上海办公点	杭州办公点	宁波办公点
   名称	输入IPsec连接的名称。	IPsec连接1	IPsec连接2	IPsec连接3
   VPN网关	选择已创建的VPN网关实例。	选择VPN网关1。
   用户网关	选择已创建的用户网关实例。	选择Shanghai-customer1。	选择Hangzhou-customer2。	选择Ningbo-customer3。
   路由模式	选择路由模式。	选择目的路由模式。	选择目的路由模式。	选择感兴趣流模式。
   本端网段	输入需要和各个办公点互通的VPC的网段，用于第二阶段协商。	不涉及	不涉及	192.168.0.0/16
   对端网段	输入需要和VPC互通的办公点的网段，用于第二阶段协商。			10.10.30.0/24
   立即生效	选择是否立即生效。 是：配置完成后立即进行协商。 否：当有流量进入时进行协商。	本示例选择是。	本示例选择是。	本示例选择是。
   预共享密钥	输入预共享密钥。 如果不输入该值，系统默认生成一个16位的随机字符串。 重要 本地网关设备的预共享密钥需和IPsec连接的预共享密钥一致。	fddsFF123****	TTTddd321****	PPPttt456****
   加密配置	添加IKE配置、IPsec配置、DPD、NAT穿越等配置。	本文使用IKEv1版本，其他选项使用默认配置。	本文使用IKEv1版本，其他选项使用默认配置。	本文使用IKEv1版本，其他选项使用默认配置。

   其他选项使用默认配置。更多参数信息，请参见创建和管理IPsec连接（单隧道模式）。

5. 在创建成功对话框中，单击确定。

步骤四：为VPN网关配置路由

IPsec连接创建完成后，您需要将上海办公点和杭州办公点待互通的网段添加至VPN网关实例的目的路由表中，并将上海办公点、杭州办公点和宁波办公点待互通的网段发布至VPC1中，为实现各个办公点之间、办公点与VPC1之间的相互通信做准备。

1. 在左侧导航栏，选择网间互联 > VPN > VPN网关。
2. 在顶部菜单栏，选择VPN网关实例的地域。

3. 在VPN网关页面，找到目标VPN网关实例，单击实例ID。

4. 在VPN网关实例的目的路由表中添加并发布上海办公点和杭州办公点的网段。

   1. 在目的路由表页签，单击添加路由条目。

   2. 在添加路由条目面板，根据以下信息配置目的路由条目，然后单击确定。

      配置项	配置说明	路由条目1	路由条目2
      目标网段	输入待互通的目标网段。	输入上海办公点的私网网段10.10.10.0/24。	输入杭州办公点的私网网段10.10.20.0/24。
      下一跳类型	选择下一跳的类型。	选择IPsec连接。	选择IPsec连接。
      下一跳	选择下一跳。	选择IPsec连接1。	选择IPsec连接2。
      发布到VPC	选择是否将新添加的路由条目发布到VPN网关关联的VPC1中。	本示例选择是。	本示例选择是。
      权重	选择路由条目的权重值。 100：高优先级。 0：低优先级。	本示例保持默认值100。	本示例保持默认值100。

      更多参数信息，请参见添加目的路由。

5. 在VPN网关实例的策略路由表中发布宁波办公点的网段。

   1. 在策略路由表中，找到目标网段为宁波办公点网段的路由条目，在操作列单击发布。

   2. 在发布路由对话框，单击确定。

步骤五：配置本地网关设备

在阿里云侧完成VPN网关的配置后，还需要配置各个办公点的本地网关设备。您需要在IPsec连接页面下载本地网关设备的配置，并将配置添加至本地网关设备中，以便实现各个办公点之间、办公点与VPC1之间的相互通信。

1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。

2. 在IPsec连接页面，找到目标IPsec连接，然后在操作列下单击下载对端配置。

   分别找到IPsec连接1、IPsec连接2和IPsec连接3，下载对端配置。

3. 根据本地网关设备的配置要求，将下载的配置添加到本地网关设备中。具体操作，请参见本地网关配置。

   • 将通过IPsec连接1下载的对端配置添加至上海办公点的本地网关设备中。

   • 将通过IPsec连接2下载的对端配置添加至杭州办公点的本地网关设备中。

   • 将通过IPsec连接3下载的对端配置添加至宁波办公点的本地网关设备中。

步骤六：测试连通性

完成上述配置后，上海办公点、杭州办公点、宁波办公点和VPC1之间已经可以互相通信。以下内容介绍如何测试连通性。

1. 测试办公点与VPC1之间的连通性。

   1. 登录VPC1内的ECS实例。

      关于如何登录ECS实例，请参见连接方式概述。

   2. 执行ping命令，分别访问上海办公点、杭州办公点和宁波办公点的一台客户端。

      ping <客户端IP地址>

      如果均能够收到回复报文，则证明各个办公点与VPC1之间可以互相通信。

2. 测试办公点之间的连通性。

   1. 打开上海办公点一台客户端的命令行窗口。

   2. 执行ping命令，分别访问杭州办公点和宁波办公点的一台客户端。

      ping <客户端IP地址>

      如果均能够收到回复报文，则证明上海办公点与杭州办公点、上海办公点与宁波办公点之间可以互相通信。

   3. 打开杭州办公点一台客户端的命令行窗口。

   4. 执行ping命令，访问宁波办公点的一台客户端。

      ping <客户端IP地址>

      如果收到回复报文，则证明杭州办公点与宁波办公点之间可以互相通信。