本文为您介绍如何使用IPsec-VPN建立专有网络VPC(Virtual Private Cloud)到企业的VPN连接,实现云下企业网络与云上VPC的互通。

方案概述

在企业上云过程中,部分企业会将数据保存在阿里云,其企业总部或分支机构有时会需要从阿里云读取数据,在企业从阿里云读取数据的过程中,会需要一条高弹性和大带宽的上云链路。VPN网关是一款基于Internet的网络连接服务,通过加密通道的方式可快速为企业数据中心、企业办公网络或Internet终端建立一条安全、高效的上云链路,并可提供多种带宽规格。

场景说明

本文以下图场景为例,为您介绍VPN网关(IPsec-VPN)上云方案。某企业在阿里云华东1(杭州)地域创建了VPC,其中部署有云服务器ECS(Elastic Compute Service)和对象存储服务OSS(Object Storage Service),企业总部会定期将数据备份到阿里云OSS中,其位于杭州地域的企业分支有时需要从OSS中读取数据或因业务需求访问ECS。现企业需要为其企业分支部署上云链路,以实现云下企业分支和云上VPC的互联互通。 IPsec VPN上云

准备工作

开始前,请确保您已经满足以下条件:
  • 您已经注册了阿里云账号。如未注册,请先完成账号注册
  • 您已经在阿里云华东1(杭州)地域部署了VPC,并部署有ECS服务器和OSS服务。具体操作,请参见使用专有网络
  • 您已经检查企业分支的网关设备,确保网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。例如华为、华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia等厂商的设备。

    本文示例中,企业分支的网关设备,即图中标识的CPE(Customer-premisesequipment)设备,将作为VPN连接中的用户网关。

  • 企业分支的网关设备已经配置了静态公网IP。
  • 本文示例中,网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。
    规划目标 网段规划 IP地址
    VPC 192.168.0.0/16 服务器地址:192.168.20.161
    企业分支 172.16.0.0/12 客户端地址:172.16.1.188
    企业网关设备 不涉及 公网IP地址:211.XX.XX.68

配置步骤

IPsec-VPN上云-步骤

步骤一:创建VPN网关

  1. 登录VPN网关管理控制台
  2. 在左侧导航栏,选择VPN > VPN网关
  3. VPN网关页面,单击创建VPN网关
  4. 在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
    • 实例名称:输入VPN网关的实例名称。
    • 地域和可用区:选择VPN网关的地域。

      请确保已创建VPC的地域和VPN网关的地域相同。本示例选择华东1(杭州)

    • 网关类型:选择要创建的VPN网关类型。本示例选择普通型
    • VPC: 选择要连接的VPC。本示例选择华东1(杭州)地域已创建的VPC实例。
    • 指定交换机:是否指定VPN网关创建在VPC中的某一个交换机下。本示例选择

      如果您选择了,您还需要指定具体的虚拟交换机

    • 带宽规格:选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。
    • IPsec-VPN: 选择开启或关闭IPsec-VPN功能,IPsec-VPN功能可以将本地数据中心与VPC或不同的VPC之间进行连接。本示例选择开启
    • SSL-VPN: 选择开启或关闭SSL-VPN功能,SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。本示例选择关闭
    • SSL连接数: 选择您需要同时连接的客户端最大规格。
      说明 本选项只有在选择开启了SSL-VPN功能后才可配置。
    • 计费周期:选择购买时长。
  5. 返回VPN网关页面,查看创建的VPN网关。
    刚创建好的VPN网关的状态是 准备中,约两分钟左右会变成 正常状态。 正常状态表明VPN网关完成了初始化,可以正常使用了。
    说明 VPN网关的创建一般需要1~5分钟。

步骤二:创建用户网关

  1. 在左侧导航栏,选择VPN > 用户网关
  2. 用户网关页面,单击创建用户网关
  3. 创建用户网关面板,根据以下信息配置用户网关,然后单击确定
    • 名称:输入用户网关的名称。
    • IP地址:输入VPC要连接的企业分支的网关设备的公网IP。本示例输入211.XX.XX.68。
    • 自治系统号:输入VPC要连接的企业分支的网关设备的自治系统号。本示例不输入。
    • 描述:输入用户网关的描述信息。
    更多信息,请参见 创建用户网关

步骤三:创建IPsec连接

  1. 在左侧导航栏,选择VPN > IPsec连接
  2. IPsec连接页面,单击创建IPsec连接
  3. 创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定
    • 名称:输入IPsec连接的名称。

      名称在2~128个字符之间,以英文字母或中文开始,可包含数字、短划线(-)和下划线(_)。

    • VPN网关:选择已创建的VPN网关。
    • 用户网关:选择已创建的用户网关。
    • 路由模式:选择路由模式。本示例选择目的路由模式
      • 目的路由模式:基于目的IP进行路由转发。

        您在创建IPsec连接后,需要在VPN网关目的路由表中添加目的路由。具体操作,请参见添加目的路由

      • 感兴趣流模式:基于源IP和目的IP进行精确的路由转发。

        您在创建IPsec连接时,如果您选择了感兴趣流模式,您需要配置本端网段对端网段。配置完成后,系统自动在VPN网关策略路由表中添加策略路由。

        系统在VPN网关策略路由表中添加策略路由后,路由默认是未发布状态,您需要在策略路由表中手动将路由发布至VPC中。

    • 立即生效:选择是否立即生效。本示例选择
      • :配置完成后立即进行协商。
      • :当有流量进入时进行协商。
    • 预共享密钥:输入共享密钥,该值必须与企业分支网关设备的预共享密钥一致。本示例使用默认生成的随机值。

      其他选项使用默认配置。

    更多信息,请参见 创建IPsec连接

步骤四:配置VPN网关路由

  1. IPsec连接创建成功后,在创建成功对话框,单击确定,去往VPN网关中进行路由发布。
  2. 在左侧导航栏,选择VPN > VPN网关
  3. VPN网关页面,找到目标VPN网关,单击目标实例ID。
  4. 目的路由表页签,单击添加路由条目
  5. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定
    • 目标网段:输入企业分支的私网网段。本示例输入172.16.0.0/12。
    • 下一跳类型:选择IPsec连接。
    • 下一跳:选择IPsec连接实例。
    • 发布到VPC:选择是否将新添加的路由发布到VPC路由表。本示例选择
    • 权重:选择权重值。本示例选择100
    配置完成后,您在VPC控制台可以查看到去往企业分支的路由172.16.0.0/12,其下一跳指向VPN网关。

步骤五:在网关设备中加载VPN配置

完成以下操作,在企业分支的网关设备中加载VPN配置。

  1. 在左侧导航栏,选择VPN > IPsec连接
  2. IPsec连接页面,找到目标IPsec连接,然后选择操作列下的更多 > 下载对端配置
  3. 根据网关设备的配置要求,将下载的配置添加到网关设备中。具体操作,请参见本地网关配置
    下载配置中的 RemotSubnetLocalSubnet与创建IPsec连接时的本端网段和对端网段是相反的。因为从阿里云VPN网关的角度看,对端是用户IDC的网段,本端是VPC网段;而从本地网关设备的角度看, LocalSubnet就是指本地IDC的网段, RemotSubnet则是指阿里云VPC的网段。

步骤六:连通性测试

完成以下操作,测试连通性。
说明 在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许企业分支访问VPC中的ECS实例。具体操作,请参见 查询安全组规则
  1. 在企业分支机构中,打开客户端的命令行窗口。
  2. 执行ping命令,ping云上VPC 192.168.0.0/16网段下的ECS实例IP地址,如果能接受到回复报文,表示连接成功。
    经验证,企业分支可以和云上VPC互通。 专线静态主备-ping