IPsec-VPN配合云企业网搭建高速全球网络 - VPN网关

本教程介绍如何组合使用VPN网关和云企业网，实现客户IDC上云，并构建高质量、低成本的跨国企业网络。

前提条件

开始操作前，请确保满足以下条件：

创建了专有网络，并部署了相关应用。具体操作，请参见创建和管理专有网络。
各办公点已经部署了本地网关设备，且配置了一个静态公网IP。
创建了云企业网实例。具体操作，请参见创建云企业网实例。
购买了云企业网带宽包并设置了跨地域互通带宽。具体操作，请参见使用带宽包和跨地域互通带宽。
需要互通的各网段不能冲突。

背景信息

某跨国公司在美国硅谷和中国上海均有两个办公点，且该跨国公司在美国（硅谷）和华东2（上海）地域分别创建了VPC1和VPC2，并在两个VPC中部署了应用系统。因业务发展，需要美国硅谷的两个办公点、中国上海的两个办公点、VPC1、VPC2全互通。各网络的网段如下表。


网络	网段
美国（硅谷）办公点1	10.10.10.0/24
美国（硅谷）办公点2	10.10.20.0/24
美国（硅谷）VPC1	172.16.0.0/16
华东2（上海）办公点3	10.20.10.0/24
华东2（上海）办公点4	10.20.20.0/24
华东2（上海）VPC2	192.168.0.0/16

如上图，您可以通过VPN网关1将美国硅谷的办公点1、办公点2与VPC1连接起来，通过VPN网关2将上海的办公点3、办公点4与VPC2连接起来，然后再将VPC1和VPC2加载到同一云企业网中，实现全球网络全互通。

配置流程

步骤一：创建美国硅谷办公点的IPsec连接

完成以下操作，创建美国硅谷办公点的IPsec连接，将办公点1、办公点2与VPC1连接起来。

为美国（硅谷）地域的VPC创建一个VPN网关。
VPN网关的参数如下：
- 实例名称：VPN网关1。
- 地域：美国（硅谷）。
- 专有网络：选择美国（硅谷）地域的VPC。
- 指定交换机：否。
- 带宽峰值：10M。
- 流量：按流量计费
- IPsec-VPN：开启。
- SSL-VPN：关闭。
- 购买时长：按小时。
- 服务关联角色：单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。
  说明 VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。
  若本配置项显示为已创建，则表示您的账号下已创建了该角色，无需重复创建。
具体操作，请参见创建和管理VPN网关实例。
创建两个用户网关，将办公点1、办公点2网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。
办公点1用户网关的参数如下：
- 名称：用户网关1。
- IP地址：输入本地办公点1网关设备的静态公网IP地址，本示例输入1.1.XX.XX。
办公点2用户网关的参数如下：
- 名称：用户网关2。
- IP地址：输入本地办公点2网关设备的静态公网IP地址，本示例输入2.2.XX.XX。
具体操作，请参见创建用户网关。
创建两个IPsec连接，将办公点1、办公点2网关设备与VPN网关连接起来。
办公点1与VPN网关间的IPsec连接的配置如下：
- 名称：IPsec连接1。
- VPN网关：选择美国（硅谷）地域VPC配置的VPN网关，本示例选择的VPN网关实例的名称为VPN网关1。
- 用户网关：选择待连接的用户网关，本示例选择用户网关1。
- 路由模式：选择感兴趣流模式。
- 本端网段：输入需要和本地办公点互连的VPC侧的网段，本示例输入172.16.0.0/16。
- 对端网段：输入需要和VPC互连的本地办公点的网段，本示例输入10.10.10.0/24。
- 立即生效：选择是否立即协商，本示例选择是。
  - 是：配置完成后立即进行协商。
  - 否：当有流量进入时进行协商。
- 预共享密钥：用于IPsec-VPN网关与用户网关之间的身份认证，本示例输入123456。
其他选项使用默认配置。
办公点2与VPN网关间的IPsec连接的配置如下：
- 名称：IPsec连接2。
- VPN网关：选择美国（硅谷）地域VPC配置的VPN网关，本示例选择的VPN网关实例的名称为VPN网关1。
- 用户网关：选择待连接的用户网关，本示例选择用户网关2。
- 路由模式：选择感兴趣流模式。
- 本端网段：输入需要和本地办公点互连的VPC侧的网段，本示例输入172.16.0.0/16。
- 对端网段：输入需要和VPC互连的本地办公点的网段，本示例输入10.10.20.0/24。
- 立即生效：选择是否立即协商，本示例选择是。
  - 是：配置完成后立即进行协商。
  - 否：当有流量进入时进行协商。
- 预共享密钥：用于IPsec-VPN网关与用户网关之间的身份认证，本示例输入123456。
其他选项使用默认配置。
具体操作，请参见创建和管理IPsec连接。
在本地办公点1和办公点2网关设备中加载VPN配置。
具体操作，请参见本地网关配置。
配置VPN网关路由。
VPN网关1指向办公点1的路由配置如下：
- 目标网段：输入要访问的私网网段，本示例输入10.10.10.0/24。
- 下一跳类型：选择IPsec连接。
- 下一跳：选择需要建立VPN连接的IPsec连接实例，本示例选择IPsec连接1。
- 发布到VPC：选择是否将新添加的路由发布到VPC路由表，本示例选择是。
  - （推荐）是：将新添加的路由发布到VPC路由表。
  - 否：不发布新添加的路由到VPC路由表。
- 权重：选择权重值，本示例选择0。
VPN网关1指向办公点2的路由配置如下：
- 目标网段：输入要访问的私网网段，本示例输入10.10.10.0/24。
- 下一跳类型：选择IPsec连接。
- 下一跳：选择需要建立VPN连接的IPsec连接实例，本示例选择IPsec连接2。
- 发布到VPC：选择是否将新添加的路由发布到VPC路由表，本示例选择是。
  - （推荐）是：将新添加的路由发布到VPC路由表。
  - 否：不发布新添加的路由到VPC路由表。
- 权重：选择权重值，本示例选择0。
美国硅谷办公点的IPsec连接后，办公点1、办公点2、VPN网关1、VPC1的路由表如下图。

步骤二：创建上海办公点的IPsec连接

完成以下操作，创建上海办公点的IPsec连接，将办公点3、办公点4与VPC2连接起来。

为华东2（上海）地域的VPC创建一个VPN网关。
VPN网关的参数如下：
- 实例名称：VPN网关2。
- 地域：美国（硅谷）。
- 专有网络：选择美国（硅谷）地域的VPC。
- 指定交换机：否。
- 带宽峰值：10M。
- 流量：按流量计费
- IPsec-VPN：开启。
- SSL-VPN：关闭。
- 购买时长：按小时。
- 服务关联角色：单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。
  说明 VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。
  若本配置项显示为已创建，则表示您的账号下已创建了该角色，无需重复创建。
具体操作，请参见创建和管理VPN网关实例。
创建两个用户网关，将办公点3、办公点4网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。
办公点3用户网关的参数如下：
- 名称：用户网关3。
- IP地址：输入本地办公点3网关设备的静态公网IP地址，本示例输入3.3.XX.XX。
办公点4用户网关的参数如下：
- 名称：用户网关4。
- IP地址：输入本地办公点4网关设备的静态公网IP地址，本示例输入4.4.XX.XX。
具体操作，请参见创建用户网关。
创建两个IPsec连接，将办公点3、办公点4网关设备与VPN网关连接起来。
办公点3与VPN网关间的IPsec连接的配置如下：
- 名称：IPsec连接3。
- VPN网关：选择华东2（上海）地域VPC配置的VPN网关，本示例选择的VPN网关实例的名称为VPN网关2。
- 用户网关：选择待连接的用户网关，本示例选择用户网关3。
- 路由模式：选择感兴趣流模式。
- 本端网段：输入需要和本地办公点互连的VPC侧的网段，本示例输入192.168.0.0/16。
- 对端网段：输入需要和VPC互连的本地办公点的网段，本示例输入10.20.10.0/24。
- 立即生效：选择是否立即协商，本示例选择是。
  - 是：配置完成后立即进行协商。
  - 否：当有流量进入时进行协商。
- 预共享密钥：用于IPsec-VPN网关与用户网关之间的身份认证，本示例输入123456。
其他选项使用默认配置。
办公点4与VPN网关间的IPsec连接的配置如下：
- 名称：IPsec连接4。
- VPN网关：选择华东2（上海）地域VPC配置的VPN网关，本示例选择的VPN网关实例的名称为VPN网关2。
- 用户网关：选择待连接的用户网关，本示例选择用户网关4。
- 路由模式：选择感兴趣流模式
- 本端网段：输入需要和本地办公点互连的VPC侧的网段，本示例输入192.168.0.0/16。
- 对端网段：输入需要和VPC互连的本地办公点的网段，本示例输入10.20.20.0/24。
- 立即生效：选择是否立即协商，本示例选择是。
  - 是：配置完成后立即进行协商。
  - 否：当有流量进入时进行协商。
- 预共享密钥：用于IPsec-VPN网关与用户网关之间的身份认证，本示例输入654321。
其他选项使用默认配置。
具体操作，请参见创建和管理IPsec连接。
在本地办公点3和办公点4网关设备中加载VPN配置。
具体操作，请参见本地网关配置。
配置VPN网关路由。
VPN网关2指向办公点3的路由配置如下：
- 目标网段：输入要访问的私网网段，本示例输入10.20.10.0/24。
- 下一跳类型：选择IPsec连接。
- 下一跳：选择需要建立VPN连接的IPsec连接实例，本示例选择IPsec连接3。
- 发布到VPC：选择是否将新添加的路由发布到VPC路由表，本示例选择是。
  - （推荐）是：将新添加的路由发布到VPC路由表。
  - 否：不发布新添加的路由到VPC路由表。
- 权重：选择权重值，本示例选择0。
VPN网关2指向办公点4的路由配置如下：
- 目标网段：输入要访问的私网网段，本示例输入10.20.20.0/24。
- 下一跳类型：选择IPsec连接。
- 下一跳：选择需要建立VPN连接的IPsec连接实例，本示例选择IPsec连接4。
- 发布到VPC：选择是否将新添加的路由发布到VPC路由表，本示例选择是。
  - （推荐）是：将新添加的路由发布到VPC路由表。
  - 否：不发布新添加的路由到VPC路由表。
- 权重：选择权重值，本示例选择0。
上海办公点的IPsec连接后，办公点3、办公点4、VPN网关2、VPC2的路由表如下图。

步骤三：加入云企业网

完成本地办公点上云后，您需要将要互通的VPC1和VPC2加入到同一个云企业网。

说明本教程使用云企业网的旧版控制台。关于如何进入旧版控制台，请参见旧版控制台使用说明。

登录云企业网控制台。
在云企业网实例页面，单击已创建的CEN实例ID。
在网络实例管理页签，单击加载网络实例。
单击同账号页签。
根据以下信息加载网络实例，然后单击确定。
- 实例类型：选择专有网络（VPC）。
- 地域：选择美国（硅谷）。
- 网络实例：选择VPC1。
根据上述步骤将VPC2加入到同一CEN实例。

步骤四：在云企业网中宣告路由

为了能够让云企业网内其他VPC学习到指向本地办公点的路由，需要在美国（硅谷）VPC和华东2（上海）VPC将指向VPN网关的路由发布到云企业网。具体操作，请参见发布路由至云企业网。

发布路由后，云企业网的路由表如下图。 CEN路由表

步骤五：配置本地办公点路由

在CEN中宣告路由后，您需要在硅谷办公点网关设备配置指向上海办公点的路由，在上海办公点的网关设备配置指向硅谷办公点的路由。

示例仅供参考，不同厂商的设备可能会有所不同。


办公点	路由
办公点1	`ip route 192.168.0.0/16 5.5.XX.XX ip route 10.20.10.0/24 5.5.XX.XX ip route 10.20.20.0/24 5.5.XX.XX ip route 10.10.20.0/24 5.5.XX.XX #5.5.XX.XX为VPN网关1的公网IP`
办公点2	`ip route 192.168.0.0/16 5.5.XX.XX ip route 10.20.10.0/24 5.5.XX.XX ip route 10.20.20.0/24 5.5.XX.XX ip route 10.10.10.0/24 5.5.XX.XX #5.5.XX.XX为VPN网关1的公网IP`
办公点3	`ip route 172.16.0.0/16 6.6.XX.XX ip route 10.10.10.0/24 6.6.XX.XX ip route 10.10.20.0/24 6.6.XX.XX ip route 10.20.20.0/24 6.6.XX.XX #6.6.XX.XX为VPN网关2的公网IP`
办公点4	`ip route 172.16.0.0/16 6.6.XX.XX ip route 10.10.10.0/24 6.6.XX.XX ip route 10.10.20.0/24 6.6.XX.XX ip route 10.20.10.0/24 6.6.XX.XX #6.6.XX.XX为VPN网关2的公网IP`

本地办公点的路由表如下图。

步骤六：测试连通性

本操作以在办公点1下的客户端访问办公点2、办公点3、办公点4下的客户端为例，测试本地各办公点间的连通性。

在本地办公点1下，打开客户端的命令行窗口。
执行ping命令，ping办公点2、办公点3、办公点4下客户端的IP地址，如果收到回复报文，表示连接成功。