本文介绍如何使用IPsec-VPN在两个专有网络VPC(Virtual Private Cloud)之间建立安全连接,实现两个VPC内的资源互访。

场景示例

说明 VPN网关不支持建立跨境连接。使用IPsec-VPN建立VPC和VPC之间的连接时,两个VPC必须同属于中国内地地域或者同属于非中国内地地域。关于中国内地地域和非中国内地地域的说明,请参见中国内地和非中国内地包含的地域都有哪些?

在一个VPC属于中国内地地域,另一个VPC属于非中国内地地域的场景下,如果您需要在两个VPC之间建立连接,您可以使用云企业网产品。更多信息,请参见什么是云企业网

本文以下述场景为例。某企业在华东1(杭州)地域拥有一个VPC1,在华北1(青岛)地域拥有一个VPC2。两个VPC均已使用云服务器ECS(Elastic Compute Service)部署了业务,企业因后续发展,现在需要VPC1和VPC2中的业务可以互相访问。

出于建设安全的网络环境考虑,企业计划使用VPN网关产品,通过在两个VPC之间建立IPsec-VPN连接,对数据进行加密传输,实现资源的安全互访。

VPC之间互联

前提条件

  • 您已经在阿里云华东1(杭州)地域和华北1(青岛)地域分别创建了VPC1和VPC2,两个VPC中均使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络
    本示例VPC1和VPC2的配置如下表所示。
    说明 您可以自行规划VPC实例的网段,请确保要互通的网段之间没有重叠。
    VPC实例名称 VPC实例所属地域 VPC实例的网段 VPC实例ID ECS实例名称 ECS实例的IP地址
    VPC1 华东1(杭州) 192.168.0.0/16 vpc-bp1e0yx3nsosmitth**** ECS1 192.168.20.161
    VPC2 华北1(青岛) 10.0.0.0/16 vpc-m5e83sapxp88cgp5f**** ECS2 10.0.1.110
  • 您已经了解两个VPC中ECS实例所应用的安全组规则,并确保安全组规则允许两个ECS实例互访。具体操作,请参见查询安全组规则添加安全组规则

配置流程

VPC与VPC互通-配置流程

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关实例所属的地域。
    本示例选择华东1(杭州)
    说明 VPN网关实例的地域和待关联的VPC实例的地域需相同。
  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
    配置项 说明
    实例名称 输入VPN网关实例的名称。本示例输入VPN网关1
    地域 选择VPN网关实例所属的地域。本示例选择华东1(杭州)
    专有网络 选择VPN网关实例关联的VPC实例。本示例选择VPC1。
    指定交换机 是否指定VPN网关创建在VPC实例中的某一个交换机下。本示例选择
    带宽峰值 选择VPN网关实例的公网带宽峰值。单位:Mbps。
    流量 VPN网关实例的计费方式。默认值:按流量计费

    更多信息,请参见计费说明

    IPsec-VPN 选择开启或关闭IPsec-VPN功能。本示例选择开启
    SSL-VPN 选择开启或关闭SSL-VPN功能。本示例选择关闭
    购买时长

    VPN网关的计费周期。默认值:按小时计费。

    服务关联角色 单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。

    VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn

    若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。

    更多信息,请参见创建VPN网关
  5. 返回VPN网关页面,查看已创建的VPN网关实例。
    创建VPN网关实例后,其状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关实例已经完成了初始化,可以正常使用。
  6. 重复步骤2步骤4,在华北1(青岛)地域创建一个名称为VPN网关2的VPN网关实例,该VPN网关实例关联VPC2,其余配置与VPN网关1相同。
    创建完成后,两个VPN网关实例的信息如下表所示。
    地域 VPN网关实例的名称 VPN网关实例关联的VPC实例名称 VPN网关实例ID VPN网关IP地址
    华东1(杭州) VPN网关1 VPC1 vpn-bp1l5zihic47jprwa**** 120.XX.XX.40
    华北1(青岛) VPN网关2 VPC2 vpn-m5eqjnr4ii6jajpms**** 118.XX.XX.20

步骤二:创建用户网关

  1. 在左侧导航栏,选择网间互联 > VPN > 用户网关
  2. 在顶部菜单栏,选择用户网关实例的地域。
    说明 用户网关实例的地域必须和待连接的VPN网关实例的地域相同。
  3. 用户网关页面,单击创建用户网关
  4. 创建用户网关面板,根据以下信息配置用户网关实例,然后单击确定
    您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个用户网关实例,用户网关实例的配置请参见下表。
    配置项 配置项说明 华东1(杭州) 华北1(青岛)
    名称 输入用户网关实例的名称。 Customer1 Customer2
    IP地址 输入用户网关实例的公网IP地址。 本示例输入VPN网关2的IP地址118.XX.XX.20
    说明 在本示例中VPC1和VPC2互为对方的用户网关。
    本示例输入VPN网关1的IP地址120.XX.XX.40

    更多信息,请参见创建用户网关

    配置完成后,VPN网关实例、用户网关实例与VPC实例之间的对应关系如下表所示。
    地域 VPC实例名称 VPN网关实例名称 用户网关实例名称 用户网关实例ID 用户网关IP地址
    华东1(杭州) VPC1 VPN网关1 Customer1 cgw-bp1er5cw26c2b35vm**** 118.XX.XX.20
    华北1(青岛) VPC2 VPN网关2 Customer2 cgw-m5e6qdvuxquse3fvm**** 120.XX.XX.40

步骤三:创建IPsec连接

VPN网关和用户网关创建完成后,您需要分别创建两个IPsec连接建立VPN加密通道。

  1. 在左侧导航栏,选择网间互联 > VPN > IPsec连接
  2. 在顶部菜单栏,选择IPsec连接的地域。
  3. IPsec连接页面,单击创建IPsec连接
  4. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
    您需要在华东1(杭州)地域和华北1(青岛)地域分别创建一个IPsec连接,IPsec连接的配置请参见下表。
    配置项 配置项说明 华东1(杭州) 华北1(青岛)
    名称 输入IPsec连接的名称。 IPsec连接1 IPsec连接2
    VPN网关 选择已创建的VPN网关实例。 VPN网关1 VPN网关2
    用户网关 选择已创建的用户网关实例。 Customer1 Customer2
    路由模式 选择路由模式。 选择目的路由模式 选择目的路由模式
    立即生效 选择是否立即生效。
    • :配置完成后立即进行协商。
    • :当有流量进入时进行协商。
    本示例选择 本示例选择
    预共享密钥 输入预共享密钥。

    如果不输入该值,系统默认生成一个16位的随机字符串。

    fddsFF123****
    注意 两个IPsec连接的预共享密钥必须相同。

    其他选项使用默认配置。更多信息,请参见创建和管理IPsec连接

  5. 创建成功对话框中,单击确定

步骤四:配置路由

  1. 在左侧导航栏,选择网间互联 > VPN > VPN网关
  2. 在顶部菜单栏,选择VPN网关实例的地域。
  3. VPN网关页面,找到目标VPN网关实例,单击实例ID。
  4. 目的路由表页签,单击添加路由条目
  5. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定
    您需要分别为VPN网关1和VPN网关2配置路由条目,配置信息如下表所示。
    配置项 配置说明 VPN网关1 VPN网关2
    目标网段 输入待互通的目标网段。 输入VPC2的私网网段10.0.0.0/16 输入VPC1的私网网段192.168.0.0/16
    下一跳类型 选择下一跳的类型。 选择IPsec连接 选择IPsec连接
    下一跳 选择下一跳。 选择IPsec连接1。 选择IPsec连接2。
    发布到VPC 选择是否将新添加的路由发布到VPN网关关联的VPC中。 本示例选择 本示例选择
    权重 选择路由的权重值。
    • 100:高优先级。
    • 0:低优先级。
    本示例保持默认值100 本示例保持默认值100
    更多信息,请参见添加目的路由

步骤五:测试连通性

  1. 登录VPC1内的ECS1实例。
    关于如何登录ECS实例,请参见连接方式概述
  2. 执行ping命令,访问ECS2实例,验证两个VPC之间的资源是否可以互访。
    ping <ECS2实例IP地址>

    收到如下所示的回复报文,则证明两个VPC之间的资源可以正常互访。

    VPC与VPC互通-连通性测试