赛尔校园公共服务平台 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
赛尔校园公共服务平台 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. IPsec-VPN
  4. 操作指南
  5. 绑定转发路由器

绑定转发路由器

  • 操作指南
  • 发布于 2025-04-22
  • 0 次阅读
文档编辑
文档编辑

IPsec连接绑定转发路由器的场景下,之前IPsec-VPN连接仅拥有一条加密隧道,如果您的网络中不存在冗余链路,在隧道故障后会直接导致网络中断。为提高IPsec-VPN连接的高可用性,阿里云已将IPsec-VPN连接升级为双隧道模式,一个IPsec-VPN连接下将包含两条隧道,两条隧道自动形成ECMP(Equal-Cost Multipath Routing)链路,在一条隧道故障后,流量可以通过另一条隧道进行传输,实现IPsec-VPN连接的高可用。在支持多可用区的地域,IPsec-VPN连接的两条隧道会自动分布在不同可用区,提供可用区级别的容灾能力。

双隧道组网说明

image

单隧道模式的IPsec-VPN连接仅拥有一条隧道,如果您的网络中不存在冗余链路,在隧道故障后会直接导致网络中断。一个双隧道模式的IPsec-VPN连接拥有两条加密隧道,会自动形成ECMP链路,两条隧道均支持流量转发。在一条隧道中断后,流量可以切换至另一条隧道进行传输。

创建双隧道模式的IPsec-VPN连接时,系统会自动将两条隧道部署在不同的可用区,以实现IPsec-VPN连接可用区级别的容灾。在仅支持一个可用区的地域 ,双隧道模式IPsec-VPN连接的两条隧道会被部署在同一个可用区,不支持可用区级别的容灾,但依旧拥有链路冗余能力。

重要

创建双隧道模式的IPsec-VPN连接时,请配置两条隧道使其均为可用状态,如果您仅配置或仅使用了其中一条隧道,将无法体验IPsec-VPN连接链路冗余能力以及可用区级别的容灾能力。

流量传输说明

  • 从转发路由器去往本地数据中心的方向

    在IPsec-VPN连接两条隧道同时可用的状态下,会组成ECMP链路,系统将会通过两条隧道向本地数据中心传输流量,两条隧道的流量分布是随机的,非均匀分布。在一条隧道故障时,系统会自动通过另一条隧道传输流量。

  • 从本地数据中心去往转发路由器的方向

    该方向的流量路径依赖于本地数据中心的路由配置。

    由于阿里云通过两条隧道向本地数据中心传输流量,流量在两条隧道的分布是随机的,因此推荐您配置ECMP路由使本地数据中心去往云上的流量同时通过两条隧道传输。如果您配置了主备路由或者配置路由使某一网段流量仅通过一条隧道传输至云上,则可能会导致云上的流量无法按照您期望的路径传输至本地数据中心。

双隧道模式路由配置原则

在使用双隧道模式的IPsec-VPN连接时,推荐您按照以下原则为IPsec-VPN连接添加路由配置,以提高IPsec-VPN连接的稳定性:

  • 推荐使用BGP动态路由方式。如果需要使用静态路由方式,请确保本地网关设备支持配置静态ECMP路由,否则本地数据中心去往阿里云的流量无法通过ECMP路径进行传输,云上的流量却能通过ECMP路径传输至本地数据中心,可能会导致流量的传输路径不符合您的期望。

  • 对于一个IPsec-VPN连接下的两条隧道,建议配置相同的路由协议,即仅为IPsec-VPN连接配置静态路由协议或为两条隧道同时配置BGP动态路由协议。

  • 在IPsec-VPN连接配置BGP动态路由协议的情况下,两条隧道的本端自治系统号需保持相同,两条隧道对端的BGP AS号可以不相同,但建议保持相同。

单隧道和双隧道的区别

说明

IPsec-VPN连接升级至双隧道模式后,计费方式不变且无新增费用。

差异点

单隧道模式

双隧道模式

单个IPsec-VPN连接下的隧道数量

1条

2条

单个IPsec-VPN连接支持的带宽规格

1000 Mbps

2000 Mbps

每条隧道支持的最大带宽规格为1000 Mbps。支持通过其他方式扩大IPsec-VPN连接的带宽。更多信息,请参见如何扩大IPsec-VPN连接的带宽?。

关联的用户网关数量

1个

2个

两条隧道支持关联相同或不同的用户网关实例。

高可用性

需通过创建多条IPsec-VPN连接实现高可用。

通过一个IPsec-VPN连接下的两条隧道即可实现高可用。

健康检查功能

支持

不支持

一个IPsec-VPN连接下的两条隧道会自动形成ECMP链路,均支持流量转发,在一条隧道中断后,系统会自动撤销该隧道的路由发布,流量可以通过另一条隧道进行传输,无需再通过健康检查功能切换链路。

网关IP地址

创建IPsec连接后,系统为IPsec连接分配一个网关IP地址,用于创建IPsec-VPN连接。

创建IPsec连接后,系统会为IPsec连接分配两个网关IP地址,用于创建双隧道模式的IPsec-VPN连接。

本地数据中心网关设备需具备的IP地址数量

1个

1个或2个

推荐本地数据中心的网关设备使用2个IP地址与阿里云建立双隧道模式的IPsec-VPN连接。或者本地数据中心使用两个本地网关设备与阿里云建立双隧道模式的IPsec-VPN连接,每个本地网关设备使用一个IP地址。

支持BGP动态路由的地域

仅部分地域支持BGP动态路由功能。具体信息,请参见支持BGP动态路由功能的地域。

支持双隧道模式IPsec-VPN连接的地域默认支持BGP动态路由协议。

教程示例

建立IPsec-VPN连接实现本地IDC和多地域VPC全互通(双隧道)

相关文章

创建和管理用户网关 2025-04-22 16:51

您需要创建用户网关将本地数据中心网关设备的IP地址注册到阿里云上,本地数据中心仅能使用注册过的IP地址与阿里云建立IPsec-VPN连接。 创建用户网关

绑定VPN网关 2025-04-22 16:51

IPsec连接绑定VPN网关的场景下,之前IPsec-VPN连接仅拥有一条加密隧道,在隧道故障后会直接导致网络中断。为提高IPsec-VPN连接的高可用性,VPN网关产品将IPsec-VPN连接升级为双隧道模式,一个IPsec-VPN连接下将包含主备两条隧道,且两条隧道分布在不同的可用区,在主隧道故

绑定转发路由器 2025-04-22 16:51

IPsec连接绑定转发路由器的场景下,之前IPsec-VPN连接仅拥有一条加密隧道,如果您的网络中不存在冗余链路,在隧道故障后会直接导致网络中断。为提高IPsec-VPN连接的高可用性,阿里云已将IPsec-VPN连接升级为双隧道模式,一个IPsec-VPN连接下将包含两条隧道,两条隧道自动形成EC

IPsec-VPN配额 2025-04-22 16:51

服务配额是指一个阿里云账号(主账号)可以使用的云资源的最大值或操作次数的最大值。本文介绍IPsec-VPN的配额项、默认值、是否支持配额提升等概况。 配额简介

MTU配置说明 2025-04-22 16:51

IPsec-VPN连接只支持传输已经分片的数据包,不支持对数据包分片及数据包分片重组。在您使用IPsec-VPN时,IPsec协议会对数据包进行加密,加密过程会扩大数据包长度,扩大后的数据包长度可能会超过网络中设置的最大数据传输单元MTU(Maximum Transmission Unit),影响数

标签 2025-04-22 16:51

使用IPsec-VPN的过程中,您可以通过标签对IPsec-VPN相关资源进行标记和分类,便于资源的搜索和聚合。本文以VPN网关实例为例介绍如何管理及使用标签。IPsec-VPN其余相关资源的标签使用方法与VPN网关实例类似。 标签概述

目录
Copyright © 2025 your company All Rights Reserved. Powered by 赛尔网络.
京ICP备14022346号-15
gongan beian 京公网安备11010802041014号