在IPsec连接绑定VPN网关实例的场景下,IPsec-VPN可以在本地数据中心与专有网络VPC(Virtual Private Cloud)间建立网络连接,实现本地数据中心和VPC间的加密通信。
环境要求
建立VPC与本地数据中心的IPsec-VPN连接前,请确保您的环境满足以下条件:
IPsec连接绑定VPN网关实例时,本地数据中心的网关设备必须配置公网IP地址。
推荐本地数据中心的网关设备配置2个公网IP地址或者本地数据中心拥有两个本地网关设备,每个本地网关设备均拥有一个公网IP地址,以建立高可用的IPsec-VPN连接。关于支持IPsec-VPN连接双隧道模式的地域信息,请参见绑定VPN网关场景双隧道IPsec-VPN连接说明。
本地数据中心的网关设备必须支持IKEv1或IKEv2协议,支持任意一种协议的设备均可以和VPN网关实例建立IPsec-VPN连接。
本地数据中心和VPC间互通的网段没有重叠。
您已了解VPC中所应用的安全组规则,并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作,请参见查询安全组规则和添加安全组规则。
使用流程
配置步骤序号 | 配置步骤及操作文档链接 | 配置步骤说明 |
1 | 创建VPN网关实例 | 创建VPN网关实例时,需开启IPsec-VPN功能。 |
2 | 创建和管理用户网关 | 通过创建用户网关,将本地网关设备的信息(例如IP地址、BGP AS号)注册到阿里云上。 |
3 |
| 一个IPsec连接表示一条本地数据中心和VPC之间的加密通信通道。 创建IPsec连接时,绑定资源需选择为VPN网关。 |
4 | 配置本地网关设备 | 本地网关设备需添加VPN配置,以便和IPsec连接协商建立IPsec-VPN连接。 |
5 | 配置VPN网关路由 | 需要在VPN网关实例中配置去往本地数据中心的路由,并将路由发布至VPC路由表以实现本地数据中心和VPC的网络互通。 |
6 | 测试连通性 | 登录到阿里云VPC内一台ECS实例,通过ping命令,ping本地数据中心内一台服务器的私网IP地址,验证通信是否正常。 |
入门场景
双隧道模式
建立VPC到本地数据中心的连接(双隧道模式)
建立VPC到本地数据中心的连接(双隧道模式和BGP路由)
单隧道模式
建立VPC到本地数据中心的连接(单隧道模式)
建立VPC到本地数据中心的连接(单隧道模式和BGP路由)