建立多条私有IPsec-VPN连接实现私网流量的负载分担 - VPN网关

本文介绍如何在本地数据中心IDC（Internet Data Center）和专有网络VPC（Virtual Private Cloud）之间建立多条私网IPsec-VPN连接，在实现本地IDC和VPC之间私网流量加密通信的同时通过ECMP（Equal-Cost Multipath Routing）链路实现私网流量的负载分担。

场景示例

本文以上图场景为例。某企业在中国上海拥有一个本地IDC，在阿里云华东1（杭州）地域拥有一个VPC实例，VPC实例中已通过云服务器ECS（Elastic Compute Service）部署了相关业务。企业希望在本地IDC和VPC实例之间进行私网互通时，可以通过VPN网关产品对私网流量进行加密，同时希望本地IDC和VPC实例之间可以拥有多条私网加密隧道，多条私网加密隧道组成ECMP链路，实现私网流量的负载分担。

网络规划

网络功能规划

在本文场景中使用的网络功能如下：

本地IDC通过两条物理专线接入阿里云，通过云企业网实现与VPC实例的私网互通。两条物理专线互为冗余链路，同时转发流量。
在本地IDC和VPC实例实现私网互通的基础上，基于物理专线在本地IDC和阿里云之间建立IPsec-VPN连接。每条物理专线上创建2条IPsec-VPN连接，2条IPsec-VPN连接互为ECMP链路，在对私网流量进行加密的同时实现私网流量的负载分担。
- 建立IPsec-VPN连接时，IPsec连接的网关类型需为私网。
- IPsec连接绑定的资源类型需为云企业网，以实现多条IPsec-VPN连接组成ECMP链路。
  说明 IPsec连接仅支持绑定云企业网中的企业版转发路由器。
本地IDC、边界路由器VBR（Virtual border router）实例和IPsec连接均使用BGP动态路由协议，实现路由的自动分发和学习，简化路由配置。同时，使用BGP动态路由协议可以实现在其中一条IPsec-VPN连接故障时，流量可以被自动切换至其他IPsec-VPN连接，提高网络的可靠性。

网段规划

重要在您规划网段时，请确保本地IDC和VPC之间要互通的网段没有重叠。


资源	网段及IP地址
VPC	主网段：172.16.0.0/16 交换机1网段：172.16.10.0/24，位于可用区H 交换机2网段：172.16.20.0/24，位于可用区I ECS实例IP地址：172.16.10.1，ECS实例位于交换机1下
IPsec连接	BGP配置： IPsec连接1：隧道网段为169.254.10.0/30，本端BGP地址为169.254.10.1，本端自治系统号使用默认值45104 IPsec连接2：隧道网段为169.254.11.0/30，本端BGP地址为169.254.11.1，本端自治系统号使用默认值45104 IPsec连接3：隧道网段为169.254.12.0/30，本端BGP地址为169.254.12.1，本端自治系统号使用默认值45104 IPsec连接4：隧道网段为169.254.13.0/30，本端BGP地址为169.254.13.1，本端自治系统号使用默认值45104
VBR	VBR1的配置： VLAN ID：201 阿里云侧IPv4互联IP：10.0.0.2/30 客户侧IPv4互联IP：10.0.0.1/30 本文中客户侧指本地网关设备1。自治系统号：45104 VBR实例的自治系统号默认为45104。 VBR2的配置： VLAN ID：202 阿里云侧IPv4互联IP：10.0.1.2/30 客户侧IPv4互联IP：10.0.1.1/30 本文中客户侧指本地网关设备2。自治系统号：45104 VBR实例的自治系统号默认为45104。
本地网关设备	本地网关设备的VPN IP地址：本地网关设备1 VPN IP地址1：192.168.0.1 VPN IP地址2：192.168.1.1 本地网关设备2 VPN IP地址1：192.168.1.2 VPN IP地址2：192.168.2.2
本地网关设备	本地网关设备BGP配置：本地网关设备1：隧道网段1为169.254.10.0/30，本端BGP地址为169.254.10.2，本端自治系统号为65530 隧道网段2为169.254.11.0/30，本端BGP地址为169.254.11.2，本端自治系统号为65530 本地网关设备2：隧道网段1为169.254.12.0/30，本端BGP地址为169.254.12.2，本端自治系统号为65530 隧道网段2为169.254.13.0/30，本端BGP地址为169.254.13.2，本端自治系统号为65530
本地IDC	待和VPC互通的网段： 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24

准备工作

在开始配置前，请确保您已完成以下操作：

您已经在阿里云华东1（杭州）地域创建了一个VPC实例，并使用ECS部署了相关业务。具体操作，请参见搭建IPv4专有网络。
您已经创建了云企业网实例，并在华东1（杭州）和华东2（上海）地域分别创建了企业版转发路由器。具体操作，请参见创建云企业网实例和创建转发路由器实例。
重要创建转发路由器实例时，需为转发路由器实例配置转发路由器地址段，否则IPsec连接无法成功绑定转发路由器实例。
如果您已经创建了转发路由器实例，您可以单独为转发路由器实例添加转发路由器地址段。具体操作，请参见添加转发路由器地址段。
您已经了解VPC中ECS实例所应用的安全组规则，并确保安全组规则允许本地IDC和ECS实例互相通信。具体操作，请参见查询安全组规则和添加安全组规则。

配置流程

步骤一：部署物理专线

您需要部署物理专线将本地IDC连接至阿里云。

创建独享物理专线。
本文使用独享专线方式在华东2（上海）地域自主创建两条物理专线连接，分别命名为物理专线1和物理专线2。具体操作，请参见创建和管理独享专线连接。
在创建物理专线2时需要根据物理专线的接入点进行不同的配置：
- 如果物理专线2的接入点和物理专线1的接入点相同，创建物理专线2时，选择冗余专线 ID为物理专线1的ID，可以避免两条物理专线接入同一台物理接入设备。
- 如果物理专线2的接入点和物理专线1的接入点不同，两条物理专线默认形成冗余链路。创建物理专线2时，不需要选择冗余专线 ID。
  本文中物理专线2的接入点和物理专线1的接入点不同。

创建VBR实例。

登录高速通道管理控制台。
在左侧导航栏，单击边界路由器（VBR）。
在顶部状态栏，选择待创建VBR实例的地域。
本文选择华东2（上海）地域。
在边界路由器（VBR）页面，单击创建边界路由器。

在创建边界路由器面板，根据以下信息进行配置，然后单击确定。

请根据下表配置分别创建2个VBR实例，2个VBR实例绑定不同的物理专线。下表仅列举本文强相关的配置项，其余配置项保持默认值。如果您需要了解更多信息，请参见创建和管理边界路由器。


配置项	说明	VBR1	VBR2
账号类型	选择VBR实例的账号类型。	本文选择当前账号。
名称	输入VBR实例的名称。	本文输入`VBR1`。	本文输入`VBR2`。
物理专线接口	选择VBR实例需要绑定的物理专线接口。	本文选择独享专线类型，然后选择在步骤 1中创建的物理专线1。	本文选择独享专线类型，然后选择在步骤 1中创建的物理专线2。
VLAN ID	输入VBR实例的VLAN ID。说明请确保VBR实例的VLAN ID与本地网关设备接口（物理专线连接的接口）划分的VLAN ID一致。	本文输入`201`。	本文输入`202`。
设置VBR带宽值	选择VBR实例的带宽峰值。	请依据您的实际需求选择适合的带宽峰值。
阿里云侧IPv4互联IP	输入VPC通往本地IDC的路由网关IPv4地址。	本文输入`10.0.0.2`。	本文输入`10.0.1.2`。
客户侧IPv4互联IP	输入本地IDC通往VPC的路由网关IPv4地址。	本文输入`10.0.0.1`。	本文输入`10.0.1.1`。
IPv4子网掩码	输入阿里云侧和客户侧IPv4地址的子网掩码。	本文输入`255.255.255.252`。	本文输入`255.255.255.252`。

为VBR实例配置BGP组。

在边界路由器（VBR）页面，单击目标VBR实例ID。
在边界路由器实例详情页面，单击BGP组页签。

在BGP组页签下，单击创建BGP组，并根据以下信息进行BGP组配置，然后单击确定。

请根据下表分别为VBR1和VBR2添加BGP组的配置。下表仅列举本文强相关的配置项，其余配置项保持默认值。如果您想要了解更多信息，请参见创建BGP组。


配置项	说明	VBR1	VBR2
名称	输入BGP组的名称。	本文输入`VBR1-BGP`。	本文输入`VBR2-BGP`。
Peer AS号	输入本地网关设备的自治系统号。	本文输入本地网关设备1的自治系统号`65530`。	本文输入本地网关设备2的自治系统号`65530`。

为VBR实例配置BGP邻居。

在边界路由器实例详情页面，单击BGP邻居页签。
在BGP邻居页签下，单击创建BGP邻居。

在创建BGP邻居面板，配置BGP邻居信息，然后单击确定。

请根据下表分别为VBR1和VBR2添加BGP邻居的配置。下表仅列举本文强相关的配置项，其余配置项保持默认值。如果您想要了解更多信息，请参见创建BGP邻居。


配置项	说明	VBR1	VBR2
BGP组	选择要加入的BGP组。	本文选择`VBR1-BGP`。	本文选择`VBR2-BGP`。
BGP邻居IP	输入BGP邻居的IP地址。	本文输入本地网关设备1连接物理专线1的接口的IP地址`10.0.0.1`。	本文输入本地网关设备2连接物理专线2的接口的IP地址`10.0.1.1`。

为本地网关设备配置BGP路由协议。

为本地网关设备配置BGP路由协议后，本地网关设备和VBR实例之间可以建立BGP邻居关系，实现路由的自动学习和传播。以下配置示例仅供参考，不同厂商的设备配置命令可能会有所不同。具体命令，请咨询相关设备厂商。

#配置本地网关设备1
router bgp 65530                         //开启BGP路由协议，并配置本地IDC的自治系统号。本文为65530。
bgp router-id 10.0.0.1                   //BGP路由器ID，本文设置为10.0.0.1。
bgp log-neighbor-changes
neighbor 10.0.0.2 remote-as 45104        //和VBR1实例建立BGP邻居关系。
!
address-family ipv4
network 192.168.0.0 mask 255.255.255.0     //宣告本地IDC的网段。
network 192.168.1.0 mask 255.255.255.0
network 192.168.2.0 mask 255.255.255.0 
neighbor 10.0.0.2 activate               //激活BGP邻居。
exit-address-family
!
#配置本地网关设备2
router bgp 65530                         //开启BGP路由协议，并配置本地IDC的自治系统号。本文为65530。
bgp router-id 10.0.1.1                   //BGP路由器ID，本文设置为10.0.1.1。
bgp log-neighbor-changes
neighbor 10.0.1.2 remote-as 45104        //和VBR2实例建立BGP邻居关系。
!
address-family ipv4
network 192.168.0.0 mask 255.255.255.0     //宣告本地IDC的网段。
network 192.168.1.0 mask 255.255.255.0
network 192.168.2.0 mask 255.255.255.0 
neighbor 10.0.1.2 activate               //激活BGP邻居。
exit-address-family
!

步骤二：配置云企业网

部署物理专线后，本地IDC可以通过物理专线接入阿里云，但本地IDC和VPC之间还无法通信，您需要将VBR实例和VPC实例连接至云企业网，通过云企业网实现本地IDC和VPC之间的相互通信。

创建VPC连接。

登录云企业网管理控制台。
在云企业网实例页面，找到在准备工作中创建的云企业网实例，单击云企业网实例ID。
在基本信息 > 转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作列单击创建网络实例连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建。


配置项	配置项说明	VPC连接
实例类型	选择网络实例类型。	本文选择专有网络（VPC）。
地域	选择网络实例所属的地域。	本文选择华东1（杭州）。
转发路由器	系统自动显示当前地域已创建的转发路由器实例ID。
资源归属UID	选择网络实例所属的阿里云账号和当前登录的账号是否为同一个账号。	本文选择同账号。
付费方式	VPC连接的付费方式。默认值为按量付费。关于转发路由器的计费规则，请参见计费说明。
连接名称	输入VPC连接的名称。	本文输入`VPC-test`。
网络实例	选择网络实例。	本文选择已创建的VPC实例。
交换机	在转发路由器支持的可用区选择交换机实例。如果转发路由器在当前地域仅支持一个可用区，则您需要在当前可用区选择一个交换机实例。如果转发路由器在当前地域支持多个可用区，则您需要在至少2个可用区中各选择一个交换机实例。在VPC和转发路由器流量互通的过程中，这2个交换机实例可以实现可用区级别的容灾。推荐您在每个可用区中都选择一个交换机实例，以减少流量绕行，体验更低传输时延以及更高性能。请确保选择的每个交换机实例下拥有一个空闲的IP地址。如果VPC实例在转发路由器支持的可用区中并没有交换机实例或者交换机实例下没有空闲的IP地址，您需要新建一个交换机实例。具体操作，请参见创建和管理交换机。更多信息，请参见创建VPC连接。	本文在可用区H下选择交换机1、在可用区I选择交换机2。
高级配置	选择是否开启所有高级配置选项。系统默认选择开启所有高级配置选项。	保持默认配置，即开启所有高级配置选项。

创建VBR连接。

返回基本信息 > 转发路由器页签，找到华东2（上海）地域的转发路由器实例，在操作列单击创建网络实例连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建。

请根据以下信息分别为VBR1和VBR2创建VBR连接。


配置项	配置项说明	VBR1	VBR2
实例类型	选择网络实例类型。	本文选择边界路由器（VBR）。
地域	选择网络实例所属的地域。	本文选择华东2（上海）。
转发路由器	系统自动显示当前地域已创建的转发路由器实例。
资源归属UID	选择网络实例所属的阿里云账号和当前登录的账号是否为同一个账号。	本文选择同账号。
连接名称	输入网络实例连接的名称。	本文输入`VBR1-test`。	本文输入`VBR2-test`。
网络实例	选择网络实例。	本文选择VBR1。	本文选择VBR2。
高级配置	选择是否开启所有高级配置选项。系统默认选择开启所有高级配置选项。	保持默认配置，即开启所有高级配置选项。

购买带宽包。

由于VBR实例绑定的转发路由器实例和VPC实例绑定的转发路由器实例位于不同的地域，VBR实例和VPC实例之间默认无法通信。您需要在华东1（杭州）和华东2（上海）地域的转发路由器实例之间创建跨地域连接，实现VBR实例和VPC实例之间的跨地域互通。

跨地域连接支持从带宽包分配和按流量付费两种带宽分配方式，本文使用从带宽包分配的方式。

在创建跨地域连接前，您需要先购买带宽包，以便为跨地域连接分配跨地域带宽。

在云企业网实例页面，找到目标云企业网实例，单击云企业网实例ID。
在云企业网实例详情页面，选择基本信息 > 带宽包管理，单击购买带宽包（预付费）。

在购买页面，根据以下信息配置带宽包，然后单击立即购买并完成支付。


配置项	说明
云企业网	选择需购买带宽包的云企业网实例。完成支付后，带宽包自动绑定至该云企业网实例。本文选择已创建的云企业网实例。
区域-A	选择参与互通的网络实例所在的区域。本文选择中国内地。说明带宽包创建后，不支持修改互通区域。带宽包支持的区域及地域信息，请参见使用带宽包。
区域-B	选择参与互通的网络实例所在的区域。本文选择中国内地。
计费方式	显示带宽包的计费方式。默认为按固定带宽计费。带宽包计费说明，请参见计费说明。
带宽值	请根据实际业务需求选择带宽包的带宽值。单位：Mbps。
带宽包名称	输入带宽包的名称。
购买时长	选择带宽包的购买时长。选中到期自动续费可开启带宽包自动续费功能。

创建跨地域连接。

在云企业网实例页面，找到目标云企业网实例，单击云企业网实例ID。
在基本信息 > 带宽包管理页签，单击设置跨地域带宽。

在连接网络实例页面，根据以下信息配置跨地域连接，然后单击确定创建。


配置项	说明
实例类型	选择跨地域连接。
地域	选择要互通的地域。本文选择华东1（杭州）。
转发路由器	系统自动显示当前地域下转发路由器的实例ID。
连接名称	输入跨地域连接的名称。本文输入`Cross-Region-test`。
对端地域	选择要互通的对端地域。本文选择华东2（上海）。
转发路由器	系统自动显示当前地域下转发路由器的实例ID。
带宽分配方式	跨地域连接支持以下带宽分配方式：从带宽包分配：从已经购买的带宽包中分配带宽。按流量付费：按照跨地域连接实际使用的流量计费。本文选择从带宽包分配。
带宽包实例	选择云企业网实例已绑定的带宽包实例。
带宽	输入跨地域连接的带宽值。单位：Mbps。
高级配置	保持默认配置，即选中全部高级配置选项。

步骤三：部署IPsec-VPN连接

完成上述步骤后，本地IDC和VPC之间可以实现私网互通，但在通信过程中，信息未经过加密。您还需要在本地IDC和阿里云之间创建IPsec-VPN连接，以实现私网流量加密通信。

登录VPN网关管理控制台。

创建用户网关。

在建立IPsec-VPN连接前，您需要先创建用户网关，将本地网关设备的信息注册至阿里云上。

在左侧导航栏，选择网间互联 > VPN > 用户网关。
在顶部菜单栏，选择用户网关的地域。
VPN网关产品不支持建立跨境的IPsec-VPN连接，因此在您选择用户网关所属的地域时，需遵循就近原则，即选择离您本地IDC最近的阿里云地域。本文中选择华东2（上海）。
关于跨境连接的更多信息，请参见什么是跨境连接和非跨境连接？。
在用户网关页面，单击创建用户网关。

在创建用户网关面板，根据以下信息进行配置，然后单击确定。

请根据以下配置在华东2（上海）地域分别创建4个用户网关。


配置项	配置项说明	用户网关1	用户网关2	用户网关3	用户网关4
名称	输入用户网关的名称。	本文输入`Customer-Gateway1`。	本文输入`Customer-Gateway2`。	本文输入`Customer-Gateway3`。	本文输入`Customer-Gateway4`。
IP地址	输入阿里云侧待连接的本地网关设备的公网IP地址。	本文输入本地网关设备1的VPN IP地址1`192.168.0.1`。	本文输入本地网关设备1的VPN IP地址2`192.168.1.1`。	本文输入本地网关设备2的VPN IP地址1`192.168.1.2`。	本文输入本地网关设备2的VPN IP地址2`192.168.2.2`。
自治系统号	输入本地网关设备使用的BGP AS号。	本文输入`65530`。

创建IPsec连接。

创建用户网关后，您需要在阿里云侧创建IPsec连接，阿里云侧将通过IPsec连接与本地IDC之间建立IPsec-VPN连接。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。
在顶部菜单栏，选择IPsec连接的地域。
IPsec连接的地域需和用户网关的地域一致。本文选择华东2（上海）。
在IPsec连接页面，单击创建IPsec连接。

在创建IPsec连接页面，根据以下信息配置IPsec连接，然后单击确定。

请根据以下配置信息，在华东2（上海）地域分别创建4个IPsec连接。创建IPsec连接会产生计费，关于IPsec连接的计费说明，请参见计费说明。


配置项	配置项说明	IPsec连接1	IPsec连接2	IPsec连接3	IPsec连接4
名称	输入IPsec连接的名称。	本文输入`IPsec连接1`。	本文输入`IPsec连接2`。	本文输入`IPsec连接3`。	本文输入`IPsec连接4`。
绑定资源	选择IPsec连接绑定的资源类型。	本文选择云企业网。
网关类型	选择IPsec连接的网络类型。	本文选择私网。
CEN 实例ID	选择云企业网实例。	本文选择在准备工作中已创建的云企业网实例。
转发路由器	选择IPsec连接待绑定的转发路由器实例。	系统根据IPsec连接所在的地域自动选择当前地域下的转发路由器实例。
可用区	在转发路由器支持的可用区中选择部署IPsec连接的可用区。	本文选择上海可用区F。说明本文场景中建议您将IPsec连接部署在不同可用区以实现可用区级别的灾备。		本文选择上海可用区G。
用户网关	选择IPsec连接关联的用户网关。	本文选择Customer-Gateway1。	本文选择Customer-Gateway2。	本文选择Customer-Gateway3。	本文选择Customer-Gateway4。
路由模式	选择路由模式。	本文选择目的路由模式。
立即生效	选择IPsec连接的配置是否立即生效。取值：是：配置完成后立即进行协商。否：当有流量进入时进行协商。	本文选择是。
预共享密钥	输入IPsec连接的认证密钥，用于本地网关设备和IPsec连接之间的身份认证。密钥长度为1~100个字符，支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\\|;:',.<>/?。若您未指定预共享密钥，系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后，您可以通过编辑按钮查看系统生成的预共享密钥。具体操作，请参见修改IPsec连接。重要 IPsec连接及其对端网关设备配置的预共享密钥需一致，否则系统无法正常建立IPsec-VPN连接。	本文输入`fddsFF123****`。	本文输入`fddsFF456****`。	本文输入`fddsFF789****`。	本文输入`fddsFF901****`。
高级配置	添加IKE配置、IPsec配置等加密配置。	本文保持默认配置。更多信息，请参见创建和管理IPsec连接。
BGP配置	选择是否开启BGP功能。BGP功能默认为关闭状态。	本文开启BGP功能。
隧道网段	输入建立加密隧道时使用的网段。该网段需是一个在169.254.0.0/16网段内，掩码长度为30的网段。	本文输入`169.254.10.0/30`。	本文输入`169.254.11.0/30`。	本文输入`169.254.12.0/30`。	本文输入`169.254.13.0/30`。
本端BGP地址	输入IPsec连接的BGP IP地址。该地址为隧道网段内的一个IP地址。	本文输入`169.254.10.1`。	本文输入`169.254.11.1`。	本文输入`169.254.12.1`。	本文输入`169.254.13.1`。
本端自治系统号	输入IPsec连接的自治系统号。	本文输入`45104`。	本文输入`45104`。	本文输入`45104`。	本文输入`45104`。
健康检查	选择是否开启健康检查功能。健康检查功能默认为关闭状态。	本文保持默认值，即不开启健康检查功能。

IPsec连接创建成功后，系统将自动为每个IPsec连接分配一个私有网关IP地址，用于IPsec连接和本地IDC之间建立IPsec-VPN连接。您可以在IPsec连接详情页面查看网关IP地址，如下图所示。查看私网IP地址

本文中，系统为IPsec连接1、IPsec连接2、IPsec连接3、IPsec连接4分配的网关IP地址如下表所示。


IPsec连接	网关IP地址
IPsec连接1	192.168.168.1
IPsec连接2	192.168.168.2
IPsec连接3	192.168.168.3
IPsec连接4	192.168.168.4

说明

IPsec连接只有绑定转发路由器实例后系统才会为其分配网关IP地址。如果在您创建IPsec连接时，IPsec连接的绑定资源类型为不绑定或者为VPN网关，则系统并不会为其分配网关IP地址。
私网类型的IPsec连接绑定转发路由器实例后，系统自动将IPsec连接的网关IP地址发布至转发路由器的路由表中。

下载IPsec连接对端的配置。
返回到IPsec连接页面，找到刚刚创建的IPsec连接，在操作列选择 > 下载对端配置。
请分别下载4个IPsec连接的配置并将配置保存在您的本地电脑，用于后续在本地网关设备中添加VPN配置。

在本地网关设备中添加VPN配置和BGP配置。

创建IPsec连接后，请根据已下载的IPsec连接对端配置信息以及下述步骤，分别在本地网关设备1和本地网关设备2中添加VPN配置和BGP配置，以便本地IDC和阿里云之间建立IPsec-VPN连接。

以下配置示例仅供参考，不同厂商的设备配置命令可能会有所不同。具体命令，请咨询相关设备厂商。

登录本地网关设备的命令行配置界面。

执行以下命令，配置isakmp策略。

//分别在本地网关设备1、本地网关设备2中添加如下配置
crypto isakmp policy 1 
authentication pre-share      //配置验证方式，本文使用预共享密钥方式。
encryption aes                //配置加密算法，本文为aes。
hash sha                      //配置认证算法，本文为sha。
group  2                      //配置DH分组，本文为group2。
lifetime 86400

执行以下命令，配置预共享密钥。

//在本地网关设备1中添加如下配置
crypto keyring keyring1  
    pre-shared-key address 192.168.168.1 key fddsFF123****
crypto keyring keyring2  
    pre-shared-key address 192.168.168.2 key fddsFF456****

//在本地网关设备2中添加如下配置
crypto keyring keyring1  
    pre-shared-key address 192.168.168.3  key fddsFF789****
crypto keyring keyring2  
    pre-shared-key address 192.168.168.4  key fddsFF901****

执行以下命令，配置ikev1 profile。

//在本地网关设备1中添加如下配置
crypto isakmp profile profile1   
    keyring keyring1   
    match identity address 192.168.168.1 255.255.255.255 
crypto isakmp profile profile2   
    keyring keyring2   
    match identity address 192.168.168.2 255.255.255.255
//在本地网关设备2中添加如下配置
crypto isakmp profile profile1   
    keyring keyring1   
    match identity address 192.168.168.3 255.255.255.255  
crypto isakmp profile profile2   
    keyring keyring2   
    match identity address 192.168.168.4 255.255.255.255

执行以下命令，配置IPsec安全协议。

//分别在本地网关设备1、本地网关设备2中添加如下配置
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac 
mode tunnel

执行以下命令，配置IPsec Profile。

//分别在本地网关设备1、本地网关设备2中添加如下配置
crypto ipsec profile IPSEC_PROFILE1
    set transform-set ipsecpro64
    set isakmp-profile profile1
crypto ipsec profile IPSEC_PROFILE2
    set transform-set ipsecpro64
    set isakmp-profile profile2

执行以下命令，配置IPsec隧道。

//在本地网关设备1中添加如下配置
interface Tunnel100
ip address 169.254.10.2 255.255.255.252    //配置本地网关设备1的IPsec-VPN连接1的隧道地址，本文为169.254.10.2。
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 192.168.168.1           //配置隧道对端的云上IPsec连接1的私网IP地址，本文为192.168.168.1。
tunnel protection ipsec profile IPSEC_PROFILE1
no shutdown
exit
!
interface GigabitEthernet1                 //配置与阿里云建立IPsec-VPN连接1的接口IP地址。
ip address 192.168.0.1 255.255.255.0
negotiation auto
!
interface Tunnel101
ip address 169.254.11.2 255.255.255.252    //配置本地网关设备1的IPsec-VPN连接2的隧道地址，本文为169.254.11.2。
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 192.168.168.2            //配置隧道对端的云上IPsec连接2的私网IP地址，本文为192.168.168.2。
tunnel protection ipsec profile IPSEC_PROFILE2
no shutdown
exit
!
interface GigabitEthernet2                 //配置与阿里云建立IPsec-VPN连接2的接口IP地址。
ip address 192.168.1.1 255.255.255.0
negotiation auto
!
//在本地网关设备2中添加如下配置
interface Tunnel100
ip address 169.254.12.2 255.255.255.252    //配置本地网关设备2的IPsec-VPN连接3的隧道地址，本文为169.254.12.2。
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 192.168.168.3            //配置隧道对端的云上IPsec连接3的私网IP地址，本文为192.168.168.3。
tunnel protection ipsec profile IPSEC_PROFILE1
no shutdown
exit
!
interface GigabitEthernet1                 //配置与阿里云建立IPsec-VPN连接3的接口IP地址。
ip address 192.168.1.2 255.255.255.0
negotiation auto
!

interface Tunnel101
ip address 169.254.13.2 255.255.255.252    //配置本地网关设备2的IPsec-VPN连接4的隧道地址，本文为169.254.13.2。
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 192.168.168.4           //配置隧道对端的云上IPsec连接4的私网IP地址，本文为192.168.168.4。
tunnel protection ipsec profile IPSEC_PROFILE2
no shutdown
exit
!
interface GigabitEthernet2                 //配置与阿里云建立IPsec-VPN连接4的接口IP地址。
ip address 192.168.2.2 255.255.255.0
negotiation auto
!

执行以下命令，配置BGP路由协议。

//在本地网关设备1中添加如下配置
router bgp 65530                         
neighbor 169.254.10.1 remote-as 45104    //配置BGP邻居的AS号，本文为云上IPsec连接1的BGP AS号45104。
neighbor 169.254.10.1 ebgp-multihop 10   //配置EBGP跳数为10。  
neighbor 169.254.11.1 remote-as 45104    //配置BGP邻居的AS号，本文为云上IPsec连接2的BGP AS号45104。
neighbor 169.254.11.1 ebgp-multihop 10   //配置EBGP跳数为10。
!
address-family ipv4 
neighbor 169.254.10.1 activate           //激活BGP邻居。
neighbor 169.254.11.1 activate 
exit-address-family
!
//在本地网关设备2中添加如下配置
router bgp 65530                         
neighbor 169.254.12.1 remote-as 45104    //配置BGP邻居的AS号，本文为云上IPsec连接3的BGP AS号45104。
neighbor 169.254.12.1 ebgp-multihop 10   //配置EBGP跳数为10。 
neighbor 169.254.13.1 remote-as 45104    //配置BGP邻居的AS号，本文为云上IPsec连接4的BGP AS号45104。
neighbor 169.254.13.1 ebgp-multihop 10   //配置EBGP跳数为10。 
!
address-family ipv4 
neighbor 169.254.12.1 activate           //激活BGP邻居。
neighbor 169.254.13.1 activate
exit-address-family
!

步骤四：配置路由条目及路由策略

完成上述配置后，您还需要在阿里云上添加路由和路由策略，使本地IDC和阿里云之间成功建立IPsec-VPN连接，并引导云上和云下流量通信时进入加密通信通道。

在VBR实例中添加自定义路由条目。

引导云上IPsec连接去往本地IDC的流量进入物理专线。

登录高速通道管理控制台。
在左侧导航栏，单击边界路由器（VBR）。
在顶部状态栏处，选择VBR实例的地域。
本文选择华东2（上海）地域。
在边界路由器（VBR）页面，单击目标边界路由器的ID。
单击路由条目页签，然后单击添加路由条目。

在添加路由条目面板，根据以下信息配置路由条目，然后单击确定。

请依据下表配置为VBR1添加路由条目1和路由条目2，为VBR2添加路由条目3和路由条目4。


配置项	说明	路由条目1	路由条目2	路由条目3	路由条目4
下一跳类型	选择物理专线接口。
目标网段	输入本地网关设备的VPN IP地址。	本文输入本地网关设备1的VPN IP地址1。`192.168.0.1/32`。	本文输入本地网关设备1的VPN IP地址2。`192.168.1.1/32`。	本文输入本地网关设备2的VPN IP地址1。`192.168.1.2/32`。	本文输入本地网关设备2的VPN IP地址1。`192.168.2.2/32`。
下一跳	选择物理专线接口。	选择物理专线1。	选择物理专线1。	选择物理专线2。	选择物理专线2。

在云企业网中添加路由策略。

登录云企业网管理控制台。
在云企业网实例页面，单击已创建的云企业网实例ID。
在基本信息 > 转发路由器页签，找到华东2（上海）地域下的转发路由器实例，单击实例ID。
在转发路由器实例详情页面，单击转发路由器路由表页签，然后单击路由策略页签。

在路由策略页签，单击添加路由策略。在添加路由策略页面，根据以下信息进行配置，然后单击确定。

请根据下表中的配置信息为云企业网添加4个路由策略，各个路由策略的说明如下：

路由策略1：本地IDC将通过VBR实例和IPsec-VPN连接同时学习到VPC的网段，为确保云下去往云上的流量优先通过IPsec-VPN连接进入VPC，您需要在云企业网中配置路由策略1，使VBR实例向本地IDC发布的VPC的网段的优先级低于IPsec-VPN连接向本地IDC发布的VPC网段的优先级。
路由策略2：云企业网通过VBR实例和IPsec-VPN连接学习到同一个网段时，默认通过VBR实例传递过来的网段的优先级较高。您需要在云企业网中配置路由策略2，使云企业网拒绝接受VBR实例传播过来的本地IDC的路由条目以确保VPC去往本地IDC的流量优先通过IPsec-VPN连接。
路由策略3和路由策略4：在您创建VBR连接后，云企业网默认会在转发路由器路由表的出地域网关方向添加策略优先级为5000、策略行为为拒绝的路由策略，该条路由策略会限制VBR、CCN、IPsec连接与转发路由器下的其它VBR、CCN、IPsec连接间的互通能力。
您需要添加路由策略3和路由策略4允许云企业网向VBR实例传播IPsec连接的网关IP地址。

下表仅列举本文强相关的配置项。如果您想要了解更多信息，请参见路由策略概述。


配置项	配置项说明	路由策略1	路由策略2	路由策略3	路由策略4
策略优先级	输入路由策略的优先级。	本文输入`5`。	本文输入`10`。	本文输入`15`。	本文输入`20`。
地域	选择路由策略应用的地域。	本文选择华东2（上海）。
关联路由表	选择路由策略关联的路由表。	本文选择当前转发路由器实例的默认路由表。
应用方向	选择路由策略应用的方向。	本文选择出地域网关。	本文选择入地域网关。	本文选择出地域网关。	本文选择出地域网关。
匹配条件	配置路由策略的匹配条件。	本文匹配条件如下：源实例ID列表：输入VPC实例ID。目的实例ID列表：输入VBR1实例ID和VBR2实例ID。路由前缀：输入`172.16.10.0/24`和`172.16.20.0/24`，并选择精确匹配。	本文匹配条件如下：源实例ID列表：输入VBR1实例ID和VBR2实例ID。路由前缀：输入`192.168.0.0/24`、`192.168.10.0/24`、`192.168.20.0/24`，并选择精确匹配。	本文匹配条件如下：目的实例ID列表：输入VBR1实例ID。路由前缀：输入`192.168.168.1/32`、`192.168.168.2/32`，并选择精确匹配。	本文匹配条件如下：目的实例ID列表：输入VBR2实例ID。路由前缀：输入`192.168.168.3/32`、`192.168.168.4/32`，并选择精确匹配。
策略行为	选择策略行为。	本文选择允许。	本文选择拒绝。	本文选择允许。	本文选择允许。
添加策略值	设置允许通过的路由的优先级。	本文选择追加AS Path，并输入`65525`、`65526`、`65527`，降低VBR实例向本地IDC发布的VPC网段的优先级。	不涉及。	不涉及。	不涉及。

步骤五：验证测试

完成路由配置后，本地IDC和VPC实例之间已经可以实现私网加密互通，同时本地IDC和VPC实例之间的流量可以通过4条IPsec-VPN连接实现流量的负载分担。以下内容介绍如何测试网络连通性以及如何验证流量已通过4条IPsec-VPN连接实现负载分担。

网络连通性测试。
1. 登录VPC实例下的ECS实例。具体操作，请参见ECS远程连接操作指南。
2. 在ECS实例中执行ping命令，尝试访问本地IDC中的客户端。
```
ping <本地IDC客户端的IP地址>
```
  如果可以收到响应报文，则表示本地IDC和VPC实例之间的网络已连通，可以实现资源互访。
验证流量的负载分担。
在本地IDC的多个客户端中持续向ECS实例发送访问请求或者在客户端中使用iPerf3工具持续向ECS实例发送访问请求，如果您可以分别在IPsec连接1、IPsec连接2、IPsec连接3、IPsec连接4的详情页面查看到流量监控数据，则证明本地IDC和VPC实例之间的流量已通过4条IPsec-VPN连接实现流量的负载分担。关于如何安装、使用iPerf3工具，请参见物理专线网络性能测试方法。
1. 登录VPN网关管理控制台。
2. 在顶部状态栏处，选择IPsec连接所属的地域。
3. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。
4. 在IPsec连接页面，找到目标IPsec连接，单击IPsec连接ID。
  进入IPsec连接详情页面在监控页签下查看流量监控数据。

路由说明

在本文中，创建IPsec连接、创建VPC连接、创建VBR连接、创建跨地域连接时均采用默认路由配置，默认路由配置下云企业网会自动完成路由的分发和学习以实现本地IDC和VPC实例之间的相互通信。默认路由配置说明如下：

IPsec连接

在创建IPsec连接时如果直接绑定转发路由器实例，则系统会自动对IPsec连接进行以下路由配置：

IPsec连接默认被关联至转发路由器实例的默认路由表，转发路由器实例将通过查询默认路由表转发来自IPsec连接的流量。
您为IPsec连接添加的目的路由或者IPsec连接通过BGP动态路由协议学习到的云下路由，均会被自动传播至转发路由器实例的默认路由表。
转发路由器实例会将默认路由表下的路由条目自动传播至IPsec连接的BGP路由表中。
IPsec连接会将通过BGP动态路由协议学习到的云上路由自动传播至本地IDC中。

VPC实例

创建VPC连接时如果采用默认路由配置（即开启所有高级配置），则系统会自动对VPC实例进行以下路由配置：

自动关联至转发路由器的默认路由表
开启本功能后，VPC连接会自动关联至转发路由器的默认路由表，转发路由器通过查询默认路由表转发VPC实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后，VPC实例会将自身的系统路由传播至转发路由器的默认路由表中，用于网络实例的互通。
自动为VPC的所有路由表配置指向转发路由器的路由
开启本功能后，系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目，其下一跳均指向VPC连接。

VBR实例

创建VBR连接时如果采用默认路由配置（即开启所有高级配置），则系统会自动对VBR实例进行以下路由配置：

自动关联至转发路由器的默认路由表
开启本功能后，VBR连接会自动关联至转发路由器的默认路由表，转发路由器通过默认路由表转发VBR实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后，VBR实例的系统路由自动传播至转发路由器的默认路由表中。
自动发布路由到Vbr
开启本功能后，系统自动将VBR连接关联的路由表中的路由发布到VBR实例中。

跨地域连接

创建跨地域连接时如果采用默认路由配置（即开启所有高级配置），则系统会自动对跨地域连接进行以下路由配置：

自动关联至转发路由器的默认路由表
开启本功能后，跨地域连接会关联至转发路由器的默认路由表，转发路由器会通过默认路由表转发跨地域间的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后，跨地域连接会将系统路由传播至转发路由器的默认路由表中。
自动发布路由到对端地域
开启本功能后，即允许跨地域连接将本端地域转发路由器的路由自动传播至对端转发路由器的路由表中，用于网络实例跨地域互通。

查看路由条目

您可以在阿里云管理控制台查看对应实例的路由条目信息：

查看转发路由器实例路由条目信息，请参见查看企业版转发路由器路由条目。
查看VPC实例路由条目信息，请参见创建和管理路由表。
查看VBR实例路由条目信息，请进入VBR实例详情页面：
1. 登录高速通道管理控制台。
2. 在左侧导航栏，单击边界路由器（VBR）。
3. 在顶部状态栏，选择VBR实例的地域。
4. 在边界路由器（VBR）页面，单击目标VBR实例ID。
  进入VBR实例详情页面在路由条目页签下分别查看VBR实例自定义路由条目、BGP路由条目和CEN路由条目的信息。
查看IPsec连接的路由条目信息，请进入IPsec连接详情页面：
1. 登录VPN网关管理控制台。
2. 在顶部状态栏处，选择IPsec连接所属的地域。
3. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。
4. 在IPsec连接页面，找到目标IPsec连接，单击IPsec连接ID。
  进入IPsec连接详情页面在BGP路由表页签下查看IPsec连接的路由条目信息。