本教程介绍如何组合使用VPN网关和云企业网,实现客户IDC上云,并构建高质量、低成本的跨国企业网络。
前提条件
开始操作前,请确保满足以下条件:背景信息

网络 | 网段 |
---|---|
美国(硅谷)办公点1 | 10.10.10.0/24 |
美国(硅谷)办公点2 | 10.10.20.0/24 |
美国(硅谷)VPC1 | 172.16.0.0/16 |
华东2(上海)办公点3 | 10.20.10.0/24 |
华东2(上海)办公点4 | 10.20.20.0/24 |
华东2(上海)VPC2 | 192.168.0.0/16 |

如上图,您可以通过VPN网关1将美国硅谷的办公点1、办公点2与VPC1连接起来,通过VPN网关2将上海的办公点3、办公点4与VPC2连接起来,然后再将VPC1和VPC2加载到同一云企业网中,实现全球网络全互通。
配置流程

步骤一:创建美国硅谷办公点的IPsec连接
完成以下操作,创建美国硅谷办公点的IPsec连接,将办公点1、办公点2与VPC1连接起来。
- 为美国(硅谷)地域的VPC创建一个VPN网关。VPN网关的参数如下:
- 实例名称:VPN网关1。
- 地域:美国(硅谷)。
- 专有网络:选择美国(硅谷)地域的VPC。
- 指定交换机:否。
- 带宽峰值:10M。
- 流量:按流量计费
- IPsec-VPN:开启。
- SSL-VPN:关闭。
- 购买时长:按小时。
- 服务关联角色:单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。说明 VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。
具体操作,请参见创建和管理VPN网关实例。
- 创建两个用户网关,将办公点1、办公点2网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。 办公点1用户网关的参数如下:
- 名称:用户网关1。
- IP地址:输入本地办公点1网关设备的静态公网IP地址,本示例输入1.1.XX.XX。
办公点2用户网关的参数如下:- 名称:用户网关2。
- IP地址:输入本地办公点2网关设备的静态公网IP地址,本示例输入2.2.XX.XX。
具体操作,请参见创建用户网关。
- 创建两个IPsec连接,将办公点1、办公点2网关设备与VPN网关连接起来。办公点1与VPN网关间的IPsec连接的配置如下:
- 名称:IPsec连接1。
- VPN网关:选择美国(硅谷)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关1。
- 用户网关:选择待连接的用户网关,本示例选择用户网关1。
- 路由模式:选择感兴趣流模式。
- 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入172.16.0.0/16。
- 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.10.10.0/24。
- 立即生效:选择是否立即协商,本示例选择是。
- 是:配置完成后立即进行协商。
- 否:当有流量进入时进行协商。
- 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456。
其他选项使用默认配置。
办公点2与VPN网关间的IPsec连接的配置如下:- 名称:IPsec连接2。
- VPN网关:选择美国(硅谷)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关1。
- 用户网关:选择待连接的用户网关,本示例选择用户网关2。
- 路由模式:选择感兴趣流模式。
- 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入172.16.0.0/16。
- 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.10.20.0/24。
- 立即生效:选择是否立即协商,本示例选择是。
- 是:配置完成后立即进行协商。
- 否:当有流量进入时进行协商。
- 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456。
其他选项使用默认配置。
具体操作,请参见创建和管理IPsec连接。
- 在本地办公点1和办公点2网关设备中加载VPN配置。 具体操作,请参见本地网关配置。
- 配置VPN网关路由。VPN网关1指向办公点1的路由配置如下:
- 目标网段:输入要访问的私网网段,本示例输入10.10.10.0/24。
- 下一跳类型:选择IPsec连接。
- 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接1。
- 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
- (推荐)是:将新添加的路由发布到VPC路由表。
- 否:不发布新添加的路由到VPC路由表。
- 权重:选择权重值,本示例选择0。
VPN网关1指向办公点2的路由配置如下:- 目标网段:输入要访问的私网网段,本示例输入10.10.10.0/24。
- 下一跳类型:选择IPsec连接。
- 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接2。
- 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
- (推荐)是:将新添加的路由发布到VPC路由表。
- 否:不发布新添加的路由到VPC路由表。
- 权重:选择权重值,本示例选择0。
美国硅谷办公点的IPsec连接后,办公点1、办公点2、VPN网关1、VPC1的路由表如下图。
步骤二:创建上海办公点的IPsec连接
完成以下操作,创建上海办公点的IPsec连接,将办公点3、办公点4与VPC2连接起来。
- 为华东2(上海)地域的VPC创建一个VPN网关。VPN网关的参数如下:
- 实例名称:VPN网关2。
- 地域:美国(硅谷)。
- 专有网络:选择美国(硅谷)地域的VPC。
- 指定交换机:否。
- 带宽峰值:10M。
- 流量:按流量计费
- IPsec-VPN:开启。
- SSL-VPN:关闭。
- 购买时长:按小时。
- 服务关联角色:单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。说明 VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。
具体操作,请参见创建和管理VPN网关实例。
- 创建两个用户网关,将办公点3、办公点4网关设备的公网IP地址注册到用户网关中用于建立IPsec连接。 办公点3用户网关的参数如下:
- 名称:用户网关3。
- IP地址:输入本地办公点3网关设备的静态公网IP地址,本示例输入3.3.XX.XX。
办公点4用户网关的参数如下:- 名称:用户网关4。
- IP地址:输入本地办公点4网关设备的静态公网IP地址,本示例输入4.4.XX.XX。
具体操作,请参见创建用户网关。
- 创建两个IPsec连接,将办公点3、办公点4网关设备与VPN网关连接起来。办公点3与VPN网关间的IPsec连接的配置如下:
- 名称:IPsec连接3。
- VPN网关:选择华东2(上海)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关2。
- 用户网关:选择待连接的用户网关,本示例选择用户网关3。
- 路由模式:选择感兴趣流模式。
- 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入192.168.0.0/16。
- 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.20.10.0/24。
- 立即生效:选择是否立即协商,本示例选择是。
- 是:配置完成后立即进行协商。
- 否:当有流量进入时进行协商。
- 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入123456。
其他选项使用默认配置。
办公点4与VPN网关间的IPsec连接的配置如下:- 名称:IPsec连接4。
- VPN网关:选择华东2(上海)地域VPC配置的VPN网关,本示例选择的VPN网关实例的名称为VPN网关2。
- 用户网关:选择待连接的用户网关,本示例选择用户网关4。
- 路由模式:选择感兴趣流模式
- 本端网段:输入需要和本地办公点互连的VPC侧的网段,本示例输入192.168.0.0/16。
- 对端网段:输入需要和VPC互连的本地办公点的网段,本示例输入10.20.20.0/24。
- 立即生效:选择是否立即协商,本示例选择是。
- 是:配置完成后立即进行协商。
- 否:当有流量进入时进行协商。
- 预共享密钥:用于IPsec-VPN网关与用户网关之间的身份认证,本示例输入654321。
其他选项使用默认配置。
具体操作,请参见创建和管理IPsec连接。
- 在本地办公点3和办公点4网关设备中加载VPN配置。 具体操作,请参见本地网关配置。
- 配置VPN网关路由。VPN网关2指向办公点3的路由配置如下:
- 目标网段:输入要访问的私网网段,本示例输入10.20.10.0/24。
- 下一跳类型:选择IPsec连接。
- 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接3。
- 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
- (推荐)是:将新添加的路由发布到VPC路由表。
- 否:不发布新添加的路由到VPC路由表。
- 权重:选择权重值,本示例选择0。
VPN网关2指向办公点4的路由配置如下:- 目标网段:输入要访问的私网网段,本示例输入10.20.20.0/24。
- 下一跳类型:选择IPsec连接。
- 下一跳:选择需要建立VPN连接的IPsec连接实例,本示例选择IPsec连接4。
- 发布到VPC:选择是否将新添加的路由发布到VPC路由表,本示例选择是。
- (推荐)是:将新添加的路由发布到VPC路由表。
- 否:不发布新添加的路由到VPC路由表。
- 权重:选择权重值,本示例选择0。
上海办公点的IPsec连接后,办公点3、办公点4、VPN网关2、VPC2的路由表如下图。
步骤三:加入云企业网
完成本地办公点上云后,您需要将要互通的VPC1和VPC2加入到同一个云企业网。
说明 本教程使用云企业网的旧版控制台。关于如何进入旧版控制台,请参见旧版控制台使用说明。
- 登录云企业网控制台。
- 在云企业网实例页面,单击已创建的CEN实例ID。
- 在网络实例管理页签,单击加载网络实例。
- 单击同账号页签。
- 根据以下信息加载网络实例,然后单击确定。
- 实例类型:选择专有网络(VPC)。
- 地域:选择美国(硅谷)。
- 网络实例:选择VPC1。
- 根据上述步骤将VPC2加入到同一CEN实例。
步骤四:在云企业网中宣告路由
为了能够让云企业网内其他VPC学习到指向本地办公点的路由,需要在美国(硅谷)VPC和华东2(上海)VPC将指向VPN网关的路由发布到云企业网。具体操作,请参见发布路由至云企业网。
发布路由后,云企业网的路由表如下图。

步骤五:配置本地办公点路由
在CEN中宣告路由后,您需要在硅谷办公点网关设备配置指向上海办公点的路由,在上海办公点的网关设备配置指向硅谷办公点的路由。
示例仅供参考,不同厂商的设备可能会有所不同。
办公点 | 路由 |
---|---|
办公点1 |
|
办公点2 |
|
办公点3 |
|
办公点4 |
|
本地办公点的路由表如下图。

步骤六:测试连通性
本操作以在办公点1下的客户端访问办公点2、办公点3、办公点4下的客户端为例,测试本地各办公点间的连通性。
- 在本地办公点1下,打开客户端的命令行窗口。
- 执行
ping
命令,ping办公点2、办公点3、办公点4下客户端的IP地址,如果收到回复报文,表示连接成功。