IPsec连接绑定VPN网关的场景下,之前IPsec-VPN连接仅拥有一条加密隧道,在隧道故障后会直接导致网络中断。为提高IPsec-VPN连接的高可用性,VPN网关产品将IPsec-VPN连接升级为双隧道模式,一个IPsec-VPN连接下将包含主备两条隧道,且两条隧道分布在不同的可用区,在主隧道故障后,流量可以通过备隧道进行传输,实现IPsec-VPN连接可用区级别的容灾。
使用限制
以下地域和可用区支持双隧道模式的IPsec-VPN连接。
说明也支持通过调用DescribeVpnGatewayAvailableZones接口查询指定地域下支持的可用区信息。如果表中的可用区的信息与调用DescribeVpnGatewayAvailableZones接口后查询到的信息不符,以调用DescribeVpnGatewayAvailableZones接口后查询到的信息为准。
新购VPN网关实例后,默认仅能创建双隧道模式的IPsec-VPN连接,不再支持创建单隧道模式的IPsec-VPN连接。
如果您之前已经创建了VPN网关实例,则这些VPN网关实例默认只能创建单隧道模式的IPsec-VPN连接。推荐您尽快将IPsec-VPN连接升级为双隧道模式,以体验高可用的IPsec-VPN连接。升级后该VPN网关实例不再支持创建单隧道模式的IPsec-VPN连接。具体操作,请参见升级IPsec-VPN连接为双隧道模式。
双隧道模式组网说明
单隧道模式下IPsec-VPN连接仅存在一条隧道,在隧道故障后会直接导致网络中断。双隧道模式下一个IPsec-VPN连接下存在两条加密隧道,互为主备链路,默认情况下流量仅通过主隧道进行传输,在主隧道故障后,流量可以通过备隧道进行传输。
在双隧道模式下,创建VPN网关实例时,您需要从VPN网关实例关联的VPC实例下指定两个分布在不同可用区的交换机实例,用于创建双隧道的IPsec-VPN连接,以实现IPsec-VPN连接可用区级别的容灾。
说明对于仅支持一个可用区的地域 ,不支持可用区级别的容灾,建议您在该可用区下指定两个不同的交换机实例以实现IPsec-VPN连接的高可用。支持选择相同的交换机实例。
创建VPN网关实例后,系统会为VPN网关实例分配两个不同的IP地址,用于建立两条隧道。
对于公网网络类型的VPN网关实例,当您开启SSL-VPN功能后,系统会额外为VPN网关实例分配一个IP地址,用于客户端和VPN网关之间建立SSL-VPN连接,SSL-VPN连接的IP地址与IPsec-VPN连接的两个IP地址不相同。
在VPN管理控制台创建IPsec连接时需要对两条隧道分别进行配置,每条隧道关联一个用户网关(两条隧道可以关联相同的用户网关)。
配置完成后,您还需要在IPsec连接对端的网关设备上添加VPN配置分别与两条隧道建立VPN连接,以建立双隧道的IPsec-VPN连接。
重要在创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,则无法体验IPsec-VPN连接主备链路冗余能力以及可用区级别的容灾能力。
双隧道模式流量传输说明
从VPN网关侧去往对端的方向(图中绿色流量方向)
在创建IPsec-VPN连接时,如果您仅配置了一条隧道(即仅启用一条隧道),则系统仅通过启用的隧道传输从VPN网关侧去往对端方向的流量,在隧道故障时,流量传输会中断。
在创建IPsec-VPN连接时,如果您配置了两条隧道(即两条隧道均启用),则系统优先通过主隧道传输从VPN网关侧去往对端方向的流量,在主隧道故障时,系统会通过备隧道传输从VPN网关侧去往对端方向的流量。在主隧道恢复后,则该方向的流量会重新切换到主隧道进行传输。
从对端去往VPN网关侧的方向(图中黑色流量方向)
该方向的流量路径依赖于对端网关设备的路由配置。
例如在本地IDC通过IPsec-VPN连接与VPC互通的场景中,您可以在本地网关设备上添加路由配置使本地IDC和VPC之间双方向的流量均通过主隧道传输,您也可以使VPC去往本地IDC的流量通过主隧道进行传输,使本地IDC去往VPC的流量通过备隧道进行传输。
双隧道模式路由配置原则
在使用双隧道模式的IPsec-VPN连接时,推荐您按照以下原则为IPsec-VPN连接添加路由配置,以提高IPsec-VPN连接的稳定性:
对于一个IPsec-VPN连接下的两条隧道,建议配置相同的路由协议,即仅为IPsec-VPN连接配置静态路由协议或为两条隧道同时配置BGP动态路由协议。
在IPsec-VPN连接配置BGP动态路由协议的情况下,两条隧道的本端自治系统号需保持相同,两条隧道对端的BGP AS号可以不相同,但建议保持相同。
对于一个VPN网关下存在多个IPsec-VPN连接的场景:
如果为多个IPsec-VPN连接同时配置了静态路由,则不同IPsec-VPN连接的目的路由或者策略路由的目标网段之间不能冲突,否则会影响路由生效。
如果为多个IPsec-VPN连接同时配置了BGP动态路由,则VPN网关侧通过多条IPsec-VPN连接学习到的路由条目的目标网段之间不能冲突,否则会影响路由生效。
单隧道模式和多隧道模式差异对比
IPsec-VPN连接升级至双隧道模式后,计费方式不变且无新增费用。
差异点 | 单隧道模式 | 双隧道模式 |
单个IPsec-VPN连接下的隧道数量 | 一条 | 两条 |
关联的交换机数量 | 创建VPN网关实例时仅需指定一个交换机。 | 创建VPN网关实例时需指定两个分布在不同可用区的交换机。 |
高可用性 | 需通过在VPN网关实例下创建多条IPsec-VPN连接或者创建多个VPN网关实例实现高可用。 | 通过一个IPsec-VPN连接下的两条隧道即可实现高可用。 |
配置路由权重值 | 支持 | 不支持 |
健康检查功能 | 支持 | 不支持 |
VPN网关的IP地址 | 创建VPN网关实例后,系统仅为VPN网关实例分配一个IP地址。 VPN网关使用该IP地址和对端建立IPsec-VPN连接或SSL-VPN连接。 | 创建VPN网关实例后,系统最多为VPN网关实例分配三个IP地址(指VPN网关实例同时开启IPsec-VPN和SSL-VPN功能的场景),其中IPsec-VPN连接使用两个IP地址,用于建立两条加密隧道,SSL-VPN连接使用一个IP地址用于和客户端建立连接。三个IP地址互不相同。 |
相关文档
建立VPC到VPC的IPsec-VPN连接(双隧道模式)