背景信息
本文介绍如何使用IPsec VPN在多站点之间、多站点与VPC之间建立连接。
场景示例
以本文图中场景为例。某企业在温州、杭州、宁波有办公点,在天翼云华东1地域拥有VPC1,VPC1中使用弹性云主机部署了业务。因业务发展需要,企业需要快速实现温州办公点、杭州办公点、宁波办公点和VPC1之间相互通信。
出于网络安全环境考虑,企业计划使用VPN网关。创建VPN网关实例后,系统自动开启VPN网关实例的Hub功能。您只需要配置各个站点的用户网关以及各个站点到云上的IPsec连接,即可实现多站点之间、多站点与VPC之间的相互通信。
本示例VPC1和各办公点的网段规划如下所示。
| 站点 | VPC1 | 温州办公点 | 杭州办公点 | 宁波办公点 |
|---|---|---|---|---|
| 待互通的网段 | 192.168.0.0/16 | 10.10.10.0/24 | 10.10.20.0/24 | 10.10.30.0/24 |
| 弹性云主机实例IP地址 | 192.168.20.121 | 不涉及 | 不涉及 | 不涉及 |
| 本地网关设备公网IP地址 | 不涉及 | 11.XX.XX.11 | 22.XX.XX.22 | 33.XX.XX.33 |
前提条件
- 已经在天翼云华东1地域创建了一个VPC1,VPC1中使用弹性云主机部署了相关业务。
- 已经获取各个办公点本地网关设备的公网IP地址。
- 已经了解VPC1中弹性云主机实例所应用的安全组规则以及各办公点所应用的安全组规则,并确保安全组规则允许弹性云主机实例、各个办公点、VPC1之间相互通信。
配置流程
步骤一:创建VPN网关
- 登录控制中心。
- 单击控制中心左上角的
,选择目标资源池。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN网关页面,单击“创建VPN网关”,进入订购页面,按照提示配置参数。
| 参数 | 说明 | 取值样例 |
|---|---|---|
| 地域 | VPN网关所在的资源池。 | 华东1 |
| 名称 | VPN网关的名称。 | vpn-gateway-1 |
| 网关类型 | 选择VPN网关的类型。 | 普通 |
| 实例类型 | 选择VPN网关的实例类型。 | IPsec |
| 企业项目 | 选择当前VPN网关归属项目。 | default |
| 本端类型 | 通过VPN网关接入的资源类型。 | 虚拟私有云VPC |
| 虚拟私有云 | 选择要使用的VPC作为本端资源。 | vpc-682f |
| 子网 | 选择当前VPC中本端的子网资源。 | subnet-682f (192.168.1.0/24) |
| IPsec带宽 | VPN网关要通过弹性IP访问公网,这里选择对应的弹性IP带宽大小,单位 Mbps,5M 起售。 | 20M |
| IPsec连接数 | 选择对应的IPsec VPN并发连接数。 | 20 |
| 购买时长 | 包年包月场景需要选择,购买VPN网关实例的时长。 | 6个月 |
| 自动续订 | 资源到期后自动续订,按月购买时按月续订,按年购买时按年续订。 | 开启 |
- 单击“下一步”。
- 在购买确认页,勾选服务协议,点击“确认下单”,进入订单列表。
- 在订单页面,单击“立即支付”,支付成功后,VPN网关创建成功。
步骤二:创建用户网关
- 登录控制中心。
- 单击控制中心左上角的
,选择VPN网关实例所在地域。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入用户网关列表页面。
- 单击“创建用户网关”。
- 按照提示配置用户网关参数,单击“确定”,创建成功。
您需要为每个办公点创建一个用户网关,用户网关的配置参考下表。
| 参数 | 说明 | 温州办公点 | 杭州办公点 | 宁波办公点 |
|---|---|---|---|---|
| 名称 | 用户网关的名称。 | user-gateway-1 | user-gateway-2 | user-gateway-3 |
| IP地址 | 对端VPN网关的静态公网IP地址,对端网关必须具有固定的公网IP,不能是动态IP。 | 11.XX.XX.11 | 22.XX.XX.22 | 33.XX.XX.33 |
步骤三:创建IPsec连接
- 登录控制中心。
- 单击控制中心左上角的,选择VPN网关实例所在地域。
- 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在左侧网络控制台,选择“IPsec VPN”,进入IPsec VPN页面。
- 单击“IPsec连接”,进入“IPsec连接”页签。
- 单击“创建IPsec连接”,按照提示配置参数。单击“确认”,完成IPsec连接创建。
需要为温州办公点、杭州办公点、宁波办公点各创建一条IPsec连接,IPsec连接将用户网关与VPN网关关联起来,进而将各个办公点连接至天翼云。
| 参数 | 说明 | 温州办公点 | 杭州办公点 | 宁波办公点 |
|---|---|---|---|---|
| 名称 | VPN连接的名称。 | connection-1 | connection-2 | connection-3 |
| VPN网关 | 选择已经创建的VPN网关。 | vpn-gateway-1 | vpn-gateway-1 | vpn-gateway-1 |
| 用户网关 | 选择已经创建的用户网关。 | user-gateway-1 | user-gateway-2 | user-gateway-3 |
| 路由模式 | 支持目的路由和感兴趣路由两种路由模式。 | 目的路由 | 目的路由 | 目的路由 |
| 协商生效 | 支持立即协商和流量触发两种协商方式。 | 流量触发 | 流量触发 | 流量触发 |
| 认证方式 | 支持秘钥认证和证书认证两种认证方式。 | 秘钥认证 | 秘钥认证 | 秘钥认证 |
| 预共享秘钥 | 设置自定义秘钥。 | ctyun***01 | ctyun***01 | ctyun***01 |
| 确认秘钥 | 设置确认秘钥。 | ctyun***01 | ctyun***01 | ctyun***01 |
步骤四: 配置路由
- 登录控制中心。
- 单击控制中心左上角的
,选择VPN网关实例所在地域。 - 在网络产品中选择“VPN连接”,进入VPN连接页面。
- 在VPN网关页面,单击目标VPN网关实例进入实例详情页。
- 在VPN网关实例详情页面,在“目的路由”页签,单击“添加路由条目”。
- 在添加路由条目页面,根据以下信息配置路由条目,单击“确定”。在VPN网关实例的目的路由表中添加并发布温州、杭州以及宁波办公点的网段,配置信息如下表所示。
| 配置 | 说明 | 温州办公点 | 杭州办公点 | 宁波办公点 |
|---|---|---|---|---|
| 目的网段 | 输入要访问的本地数据中心的私网网段。 | 输入温州的私网网段10.10.10.0/24 | 输入杭州的私网网段10.10.20.0/24 | 输入宁波的私网网段10.10.30.0/24 |
| 下一跳类型 | 选择IPsec连接。 | IPsec 连接 | IPsec 连接 | IPsec 连接 |
| 下一跳 | 选择需要建立IPsec VPN连接的IPsec连接。 | connection-1 | connection-2 | connection-3 |
| 是否发布 | 选择是否将新添加的路由发布到VPC路由表。 是 (推荐):将新添加的路由发布到VPC路由表。 否 :不发布新添加的路由到VPC路由表。 说明如果您选择否,添加目的路由后,您还需要执行发布目的路由动作。 |
是 | 是 | 是 |
| 权重 | 100 (默认值):表示当前策略路由关联的IPsec连接为主链路。 | 100 | 100 | 100 |
步骤五:测试连通性
完成上述配置后,温州办公点、杭州办公点、宁波办公点和VPC1之间可以相互通信。按照以下步骤测试连通性:
- 测试办公点与VPC1之间的连通性。
- 登录VPC1内的弹性云主机实例。
- 执行ping命令,分别访问温州办公点、杭州办公点、宁波办公点的一台客户端。
ping <客户端IP地址>
能收到回复报文,则各个办公点与VPC1之间可以互相通信。
- 测试办公点之间的连通性。
- 打开温州办公点一台客户端的CMD命令行窗口。
- 执行ping命令,分别访问杭州办公点和宁波办公点的一台客户端。
ping <客户端IP地址>
如果均能够收到回复报文,则温州办公点与杭州办公点、温州办公点与宁波办公点之间可以互相通信。
按照上面的测试方法,再依次测试杭州办公点、宁波办公点与其他办公点的连通性。
