场景示例
以下图组网场景为例,某公司在天翼云创建了VPC,子网网段为192.168.1.0/24和192.168.2.0/24。本地数据中心的网段为172.16.1.0/24,本地网关设备的公网IP为121.XX.XX.113。公司因业务发展,需要本地数据中心与云上VPC互通。您可以通过IPsec VPN,建立本地数据中心与云上VPC的连接,实现云上和云下的加密通信。
环境要求
- 本地数据中心网关设备必须配置公网IP地址。
- 本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和VPN网关建立IPsec VPN连接。
- 本地数据中心和天翼云VPC间互通的网段没有重合。
准备工作
- 您已经在天翼云创建了VPC,VPC中使用云主机部署了相关业务。
- 您已经了解云主机实例所应用的安全组规则,并确保安全组规则允许本地数据中心网络中的终端设备访问云上资源。
操作步骤
步骤一:创建VPN网关
- 登录控制中心。
- 单击控制中心左上角的
,选择目标资源池。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN网关页面,单击“创建VPN网关”,进入订购页面,按照提示配置参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 计费模式 | 选择创建VPN网关所使用的计费模式。 | 包年/包月 |
| 地域 | VPN网关所在的资源池。 | 华东1 |
| 名称 | VPN网关的名称。 | vpn-gateway-f0e0 |
| 网关类型 | 选择VPN网关的类型。 | 普通 |
| 实例类型 | 选择VPN网关的实例类型。 | IPsec |
| 企业项目 | 选择当前VPN网关归属项目。 | default |
| 本端类型 | 通过VPN网关接入的资源类型。 | 虚拟私有云VPC |
| 虚拟私有云 | 选择要使用的VPC作为本端资源。 | vpc-682f |
| 子网 | 选择当前VPC中本端的子网资源。 | subnet-682f (192.168.1.0/24) |
| IPsec带宽 | VPN网关要通过弹性IP访问公网,这里选择对应的弹性IP带宽大小,单位 Mbps,5M 起售。 | 20M |
| IPsec连接数 | 选择对应的IPsec VPN并发连接数。 | 20 |
| 购买时长 | 包年包月场景需要选择,购买VPN网关实例的时长。 | 6个月 |
| 自动续订 | 资源到期后自动续订,按月购买时按月续订,按年购买时按年续订。 | 开启 |
- 单击“下一步”。
- 在购买确认页,勾选服务协议,点击“确认下单”,进入订单列表。
- 在订单页面,单击“立即支付”,支付成功后,VPN网关创建成功。
步骤二:创建用户网关
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入用户网关列表页面。
- 单击“创建用户网关”。
- 按照提示配置用户网关参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | 用户网关的名称。 | user-gateway-5da3 |
| IP地址 | 对端VPN网关的静态公网IP地址,对端网关必须具有固定的公网IP,不能是动态IP。 | 121.229.145.113 |
- 单击“确定”,创建成功。
步骤三:创建IPsec连接
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入IPsec VPN页面。
- 单击“IPsec连接”,进入“IPsec连接”页签。
- 单击“创建IPsec连接”,按照提示配置参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 名称 | VPN连接的名称。 | connection-1 |
| VPN网关 | 选择已经创建的VPN网关。 | vpn-gateway-46c1-ipsec |
| 用户网关 | 选择已经创建的用户网关。 | user-gateway-5da3 |
| 路由模式 | 支持目的路由和感兴趣路由两种路由模式。 | 感兴趣路由 |
| 本端子网 | 选择VPC侧哪个子网需要和企业侧进行联通。 | subnet-b2a0(192.168.1.0/24) |
| 对端网段 | 配置企业侧哪个网段需要和VPC侧进行联通。 | 172.16.1.0/24 |
| 协商生效 | 支持立即协商和流量触发两种协商方式。 | 立即协商 |
| 认证方式 | 支持秘钥认证和证书认证两种认证方式。 | 秘钥认证 |
| 预共享秘钥 | 设置自定义秘钥。 | ctyun_test01 |
| 确认秘钥 | 设置确认秘钥。 | ctyun_test01 |
| LocalId | 支持FQDN和IP格式 | 默认为当前选取的网关地址,如11.XX.XX.11 |
| RemoteId | 支持FQDN和IP格式 | 默认选择用户网关的公网地址,如121.XX.XX.113 |
- 单击“确认”,完成IPsec连接创建。
步骤四:配置VPN网关路由(可选)
- 当创建的IPsec连接配置的路由模式为“目的路由”时,您需要在VPN网关中配置路由,并发布路由到VPC路由表以实现本地数据中心和VPC的通信。
- 当创建的IPsec连接配置的路由模式为“感兴趣路由”时,无需执行此操作。
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN网关页面,单击目标VPN网关实例。
- 在VPN网关实例详情页面,在“策略路由”页签,单击“添加路由条目”。
- 在添加路由条目页面,根据以下信息配置策略路由,单击“确定”。
| 配置 | 说明 | 取值样例 |
|---|---|---|
| 目标网段 | 输入要访问的本地数据中心的私网网段。 | 172.16.1.0/24 |
| 源网段 | 输入VPN网关实例关联的VPC侧的私网网段。 | 192.168.3.0/24 |
| 下一跳类型 | 选择IPsec连接。 | IPsec 连接 |
| 下一跳 | 选择需要建立IPsec VPN连接的IPsec连接。 | connection-2 |
| 是否发布 | 选择是否将新添加的路由发布到VPC路由表。 是 (推荐):将新添加的路由发布到VPC路由表。 否 :不发布新添加的路由到VPC路由表。 说明:如果您选择 否 ,添加策略路由后,您还需执行发布策略路由。 |
是 |
| 权重 | 路由的优先级属性。 | 100(默认值) |
步骤五:在本地网关设备中加载VPN配置
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入IPsec VPN页面。
- 单击“IPsec连接”,进入“IPsec连接”页面。
- 在IPsec连接页面,找到目标IPsec连接实例,在操作列选择“更多”,单击“下载对端配置”。
- 根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见“用户指南 >本地网关配置”。
步骤六 :测试连通性
- 登录到VPC内一台弹性云主机实例。
- 执行ping命令,访问本地数据中心内的一台服务器,验证通信是否正常。
如果能够收到回复报文,则证明通信正常。
